旁注，跨库，CDN之——CDN

CDN

1.前天刚看哥哥的安恒面经问到判断是否使用CDN，以及CDN绕过（学安全的太难了，整个牛客网渗透测试就俩面经），今儿就学到了；
2.昨天没有更新笔记不是因为偷懒，昨天学习的是几个编辑器常用的漏洞，因为那几个编辑器版本有点乱而且内容不是很重要，老师说在实际渗透中只要看见使用这几个编辑器的时候心里能想到这个知识分支就好，我决定先放一下，之后操作的时候再补上；
3.最近有几门课也快结课了，好多结课作业要写，要注意时间的安排；
4.今儿玩阿里云登录那验证码引起了我的兴趣，大概就是用鼠标刮彩票一样，刮出两个小鸡，查了查，之前包括淘宝很多都是一直用这种验证码，没有变过，不知道其中的奥妙。

什么是CDN

CDN，百度百科的解释为内容分发网络。我们可以这么理解：互联网是非常大的，而我的站点在架设的时候全世界的人都有可能来访问，但是由于互联网非常大，如果想访问我们站点的用户与我们的站点延迟非常大，导致网站首页打开都非常慢，这会直接影响到用户的访问体验，并且因此而流失掉的潜在客户是非常不值得的。

以上问题在互联网发展史中是真实存在的，是需要解决的，于是就出现了CDN，我们可以把CDN看作是我们web站点的镜像服务器，我们在站点架设好之后，只需要将DNS指向修改一下，就可以将所有用户的访问指向到CDN。CDN一般在全国各地都有，提高了用户访问速度；并且由于攻击者没有真实IP地址，哪怕攻陷了CDN也不会对我们的服务器有任何影响，所以CDN解决了访问速度以及提高安全性这两个问题。

判断是否使用了CDN

1.在我们进行渗透的时候，经常会会遇到CDN，通过ping 域名即可判断出是否是CDN
2. 或者使用k8 c段旁注工具，输入域名，提示加速或者代理
3.也可以使用 cmd中用nslookup+域名 进行检测，原理同上，如果返回域名解析对应多个 IP 地址多半是使用了 CDN。（但是名称不同于域名的原因也可能是waf或者代理造成的）

找到服务器真实IP地址的方法

1.大型站点一般除了www的子域之外还会有mail、oa、crm等其他二级域名。我们这个时候可以在google搜索下site:XXX.com –www 或者site:xxx.com mail 来搜索其他的二级域名。通过其他的二级域名DNS解析所对应的IP地址来判断其拥有的IP地址段。一般情况下， www有可能是托管在其他地方但是mail服务器一般是企业自行运营维护。

在获得其IP地址段之后，可以在浏览器地址栏通过直接访问IP地址或是使用nmap来进行整段扫描确认其真实IP地址。

2.通过多地ping来确认其真实IP地址；web站点架设的目的就是提供给人访问，有时候考虑到访问速度的问题会使用CDN提高访问速度，对于这种站点，可通过多地ping的方式，来判断其web服务器的真实IP地址。
多地ping工具：

http://ping.chinaz.com/
http://ping.aizhan.com/
http://ce.cloud.360.cn/

绕过CDN机制

域名历史解析记录

（1）查看 IP 与 域名绑定的历史记录，可能会存在使用 CDN 前的记录，相关查询网站有：
https://dnsdb.io/zh-cn/ ###DNS查询
https://x.threatbook.cn/ ###微步在线
https://tools.ipip.net/cdn.php ###CDN查询IP
http://toolbar.netcraft.com/site_report?url= ###在线域名信息查询
http://viewdns.info/ ###DNS、IP等查询

（2）利用SecurityTrails平台，攻击者就可以精准的找到真实原始IP。
只需在搜索字段中输入网站域名，然后按Enter键即可，这时“历史数据”就可以在左侧的菜单中找到。https://securitytrails.com/domain/域名/dns除了过去的DNS记录，即使是当前的记录也可能泄漏原始服务器IP。例如，MX记录是一种常见的查找IP的方式。如果网站在与web相同的服务器和IP上托管自己的邮件服务器，那么原始服务器IP将在MX记录中。
(3)观看ip变化
http://toolbar.netcraft.com/site_report?url=www.xxx.com

查询子域名

（1）微步在线(https://x.threatbook.cn/)

（2）Dnsdb查询法(https://dnsdb.io/zh-cn/)

（3）Google 搜索Google site:baidu.com -www就能查看除www外的子域名

（4）各种子域名扫描器

（5）网络空间引擎搜索法
常见的有以前的钟馗之眼，shodan，fofa搜索。
以fofa为例，只需输入：title:“网站的title关键字”或者body：“网站的body特征”就可以找出fofa收录的有这些关键字的ip域名，很多时候能获取网站的真实ip。

（6）利用SSL证书寻找真实原始IP
https://censys.io/certificates?q=parsed.names%3Aoldboyedu.com+and+tags.raw%3Atrusted
oldboyedu.com证书的搜索查询参数为：parsed.names：oldboyedu.com
只显示有效证书的查询参数为：tags.raw：trusted
Censys将向你显示符合上述搜索条件的所有标准证书，以上这些证书是在扫描中找到的。
要逐个查看这些搜索结果，攻击者可以通过单击右侧的“Explore”，打开包含多个工具的下拉菜单。What’s using this certificate? > IPv4 Hosts

(7)使用国外主机解析域名
国内很多 CDN 厂商因为各种原因只做了国内的线路，而针对国外的线路可能几乎没有，此时我们使用国外的主机直接访问可能就能获取到真实IP。
(8)方法网站漏洞查找
1）目标敏感文件泄露，例如：phpinfo之类的探针、“info.php”, “phpinfo.php”, “test.php”, “l.php”、GitHub信息泄露等。
2）查看漏洞扫描报警信息，手工造成页面报错
3）XSS盲打，命令执行反弹shell，SSRF等。
4）无论是用社工还是其他手段，拿到了目标网站管理员在CDN的账号，从而在从CDN的配置中找到网站的真实IP。
(9)方法9:网站邮件订阅查找
RSS邮件订阅，很多网站都自带 sendmail，会发邮件给我们，此时查看邮件源码里面就会包含服务器的真实 IP 了。
(10)：用 Zmap 扫全网
据说 Zmap 44分钟扫描全网，这款工具更多用在知道某一个站真实IP，不知道要渗透的站点的真实IP（或纯真IP地址数据库，DotNetscan）
比如要找 xiaix.me 网站的真实 IP，我们首先从 apnic 获取 IP 段，然后使用 Zmap 的 banner-grab 扫描出来 80 端口开放的主机进行 banner 抓取，最后在 http-req 中的 Host 写 xiaix.me。
像 DDoS 把 CDN 流量打光会干扰到网站的正常运转
www.crimeflare.com/cfs.html#box
(11)：F5 LTM解码法
当服务器使用F5 LTM做负载均衡时，通过对set-cookie关键字的解码真实ip也可被获取，例如：抓包，Set-Cookie: BIGipServerpool_8.29_8030=487098378.24095.0000，先把第一小节的十进制数即487098378取出来，然后将其转为十六进制数1d08880a，接着从后至前，以此取四位数出来，也就是0a.88.08.1d，最后依次把他们转为十进制数10.136.8.29，也就是最后的真实ip
（12）、通过信息报错或访问相关测试页面

小技巧

		有的公司申请地址的时候IP地址是连着注册的噢