CloudFlare防禦下的破綻：尋找真實IP的幾條途徑

本文僅表明做者獨立觀點，本文說起的技術僅供安全研究和滲透測試用途

看Twitter發現CloudFlare總裁什麼的最近很高調，北京、香港的跑着參加會議、發表演說什麼的，CloudFlare彷佛也沒那麼牛逼吧。前段就關注過比較火熱的CloudFlare如何抵禦住大流量的攻擊。政治跟咱沒毛線關係，但你說你那麼牛，這就有點不太合適了吧。

目前大部分的網站都基於虛擬化部署，說的高大上一點就是雲技術和CDN技術。在閒暇之餘也關注過這個事情，畢竟是比較先進的技術，之前傳統的入侵滲透都是基於單主機，最多就是做一下負載均衡和反向代理。因此在尋找網站的真實IP上，不用費太多的力氣，對真實主機進行信息探測和其餘的操做。就很少廢話，你們都懂，說多了有裝逼之嫌。

如今不少網站都使用CloudFlare提供的服務，你們可能以往也都遇到過，如何繞過CloudFlare的防禦，找到真是的網站IP，估計你們都比較蛋疼，確定不止我一我的蛋疼。其實就前段時間CloudFlare被DDoS的事件，直接點說就是那個投票網站被DDoS，沒搞死的重點不是CloudFlare的防禦牛逼，而是木有找到網站服務器的真是IP，那麼多攻擊方式，那麼大的流量，我想搞死一個小網站是分分鐘的事情。扯淡扯遠了，咱討論的是如何找到通過CloudFlare防禦的主機真實IP。在Wooyun裏面有過關於CDN找真實IP的討論，我在這裏也說一下我我的的一些經驗，就拿CloudFlare的客戶作例子。

找真實IP是個體力活，須要各類耐心和運氣成分。

常規的方式一，找子站和子域名，看看有沒有子站沒有通過CDN的防禦，二級，三級甚至四級域名。

2、查找看看有沒有郵件系統，通常的郵件系統不少都是在內部，沒有通過CDN的解析，這樣經過查看原始的郵件頭部，能夠看到真實的IP。第三就是經過查詢域名歷史信息，通常的域名的歷史信息，仍是能夠查詢到真實IP的，CloudFlare有個比較弱智的硬傷，這是經過一段時間觀察分析所得出的結果，這個也多是一個設計的缺陷,也多是爲了管理識別。大部分經過CloudFlare保護的網站都有一個direct-xxx（xxx對應網站域名）的子站，經過這個子站咱們能夠得到該網站的真是IP。例如這裏我隨便找個網站，咱們手工測試一下：

咱們不作DDOS，不必去較真網站的真實IP是什麼，但若是滲透過程當中須要從Web入手，而暫時又找不到可利用的漏洞，須要經過其餘弱智的方式來進行入侵，如各類C段的滲透等，那樣真實的網站IP就顯得比較重要了。OK，先ping一下，看看, 141.101.122.201，美國。

試試剛纔說的那個方法

蛋疼了，被CloudFlare隱藏的那是至關的深了，這果真是特殊照顧的客戶啊。這裏就不得不祭出神站了，提到一個比較叼的網站，www.crimeflare.com，網站有個DomainSearchBox，能夠對CloudFlare客戶網站進行真實IP查詢。這個估計是哪一個哥們跟CloudFlare網站過不去創建的吧。 

果斷髮現真實IP，147開頭，香港大學的，具體地址就不透露了，省得順豐快遞上門服務。如何驗證真實性呢，最簡單的辦法就是修改本地的Host文件，真實的IP對應與之對應的域名便可。可是驗證了一下，發現不對，這只是曾經用過的一臺服務器IP地址，應該是這鳥網站扛不住的時候CF幫忙搬家了，這裏只能呵呵一下。看了下C段，全是香港大學的機器，沒啥興趣，搞來意義不大，就不浪費時間了。而後各類抓包分析，後來仍是沒突破，最終拿到了個CDN的小工具，相似於核總寫的CDN終結者同樣吧（某大牛，具體名字就不方便透露了），配和工具倒騰了會，居然還真讓我找到了一個在美國的IP地址（54.xxx.xxx.xx），查一下地址看看。

驗證後果真爲真實服務器，果真是AWS地址上，也驗證了以前全部的想法，原來躲在了在亞馬遜雲上面，又是用的EC2產品，對ec2不太瞭解，註冊了個aws看了看，對於EC2這種產品沒有0Day是基本直接滲透沒但願的。

不過寫這個文章的時候手賤又看了下，發現真實的IP又變回了香港大學，具體的地址本身查均可以驗證的，不能說太多，小心順豐快遞和那啥。

好不容易挖出這個站，固然也不想輕易放過，繼續，各類掃描器一併帶出，端口、路徑、AWVS紛紛上去，果真讓我找到一個複雜一點的注入點（估計如今沒了額），就是HTTP頭部的延遲注入，抓個POST包，構造以下：

好了，那就丟SQLMap裏去跑吧：

MySQL的數據庫，Web仍是和數據庫分離，好吧，就不考慮導出Shell了，看看數據走人吧。一個個字母的出來，果真好慢啊。耐心等待吧，爆出版本、路徑了，繼續爆爆數據庫、數據表、列名什麼的。不過這破數據就電話和身份證號有用點吧，連個名字都沒有，指定下列名什麼的，就開始Dump了，一列身份證號，一列手機號，香港人和咱又扯不上什麼關係，儘管社吧。

漏洞驗證完畢，其餘數據就不在話下了。多的就不說了，已打包在附件中，爲保護本身的水錶，懼怕警察蜀黍啊，因此特地加密。解壓密碼能夠私聊，僅做技術交流吧，此次也算是遇上了一次潮流，分析了分析。

補充一：花了必定時間，也翻遍了核總、鬼仔等大牛的博客，更是多虧算是0Day級的針對CDN的分析、抓包工具吧，因此纔有此次針對CloudFlare公司的產品和客戶的一次全面分析。有人質疑CloudFlare不能表明全部CDN公司，其實我以爲這個是一通百通的道理，而且關鍵是在於積累，人家技術也確實牛逼，這點不得不認可，亞馬遜雲主機EC2不誰都沒漏洞利用工具麼，因此繞過不容易，搞定也不容易，貴在堅持。

補充二：關於數據的問題，做爲搞技術的，尤爲是白帽子而言這些數據對我沒有任何意義，漏洞證實須要纔會稍微注入一下，最終也是利用Sqlmap完整脫褲，網盤地址：http://1drv.ms/1vcg96F。目前僅限於私底下交流，密碼私信，JC請繞道。

原文地址