域名信息的收集
當(dāng)我們確定了要滲透的目標(biāo),也就是知道了其域名,接下來(lái)我們需要收集域名對(duì)應(yīng)的 ip,域名的whois信息、子域名等等一系列與域名相關(guān)的信息。
判斷域名對(duì)應(yīng)的IP:首先,我們要判斷該域名是否存在CDN的情況,我們可以去在線CDN查詢網(wǎng)站:http://ping.chinaz.com/ 。如果查詢出的ip數(shù)量大于一個(gè)的話,則說(shuō)明該ip地址不是真實(shí)的服務(wù)器地址。以我的經(jīng)驗(yàn)來(lái)看,如果是2個(gè)或者3個(gè),并且這幾個(gè)地址是同一地區(qū)的不同運(yùn)營(yíng)商的話,則很有可能這幾個(gè)地址是服務(wù)器的出口地址,該服務(wù)器在內(nèi)網(wǎng)中,通過不同運(yùn)營(yíng)商N(yùn)AT映射供互聯(lián)網(wǎng)訪問,同時(shí)采用幾個(gè)不同的運(yùn)營(yíng)商可以負(fù)載均衡和熱備份。如果是多個(gè)ip地址,并且這些ip地址分布在不同地區(qū)的話,則基本上可以斷定就是采用了CDN了。那么如何繞過CDN查找網(wǎng)站真實(shí)的ip地址呢?
在滲透測(cè)試過程中,經(jīng)常會(huì)碰到網(wǎng)站有CDN的情況。CDN即內(nèi)容分發(fā)網(wǎng)絡(luò),主要解決因傳輸距離和不同運(yùn)營(yíng)商節(jié)點(diǎn)造成的網(wǎng)絡(luò)速度性能低下的問題。說(shuō)的簡(jiǎn)單點(diǎn),就是一組在不同運(yùn)營(yíng)商之間的對(duì)接點(diǎn)上的高速緩存服務(wù)器,把用戶經(jīng)常訪問的靜態(tài)數(shù)據(jù)資源直接緩存到節(jié)點(diǎn)服務(wù)器上,當(dāng)用戶再次請(qǐng)求時(shí),會(huì)直接分發(fā)到離用戶近的節(jié)點(diǎn)服務(wù)器上響應(yīng)給用戶,當(dāng)用戶有實(shí)際數(shù)據(jù)交互時(shí)才會(huì)從遠(yuǎn)程Web服務(wù)器上響應(yīng),這樣可以大大提高網(wǎng)站的響應(yīng)速度及用戶體驗(yàn)。使用CDN的另一個(gè)好處就是可以隱藏真實(shí)的服務(wù)器ip,當(dāng)我們ping目標(biāo)域名,得到的ip地址是離我們最近一臺(tái)目標(biāo)節(jié)點(diǎn)的CDN服務(wù)器的ip地址。
所以為了接下來(lái)的信息收集,我們必須查找出網(wǎng)站的真實(shí)ip地址。
查詢域名相關(guān)的網(wǎng)站:
DNS查詢:https://dnsdb.io/zh-cn/
微步在線:https://x.threatbook.cn/
在線域名信息查詢:http://toolbar.netcraft.com/site_report?url=
DNS、IP等查詢:http://viewdns.info/
CDN查詢IP:https://tools.ipip.net/cdn.php
SecurityTrails平臺(tái):https://securitytrails.com/domain/www.baidu.com/history/a
如何判斷網(wǎng)站是否有CDN?
很簡(jiǎn)單,使用不同地方的 ping 服務(wù),查看對(duì)應(yīng) IP 地址是否唯一,如果不唯一則極有可能是使用了CDN
ping測(cè)試網(wǎng)站有:
http://ping.chinaz.com/
http://ping.aizhan.com/
繞過CDN查找網(wǎng)站真實(shí)ip
(1)內(nèi)部郵箱源:一般的郵件系統(tǒng)都在內(nèi)部,沒有經(jīng)過CDN的解析,通過目標(biāo)網(wǎng)站用戶注冊(cè)或者RSS訂閱功能,查看郵件,尋找郵件頭中的郵件服務(wù)器域名IP,ping這個(gè)郵件服務(wù)器的域名,就可以獲得目標(biāo)的真實(shí)IP(必須是目標(biāo)自己的郵件服務(wù)器,第三方或者公共郵件服務(wù)器是沒有用的)。
(2)查看域名歷史解析記錄:也許目標(biāo)很久之前沒有使用CDN,所以可能會(huì)存在使用 CDN 前的記錄。所以可以通過網(wǎng)站https://www.netcraft.com 來(lái)觀察域名的IP歷史記錄。
(3)查詢子域名:畢竟 CDN 還是不便宜的,所以很多站長(zhǎng)可能只會(huì)對(duì)主站或者流量大的子站點(diǎn)做了 CDN,而很多小站子站點(diǎn)又跟主站在同一臺(tái)服務(wù)器或者同一個(gè)C段內(nèi),此時(shí)就可以通過查詢子域名對(duì)應(yīng)的 IP 來(lái)輔助查找網(wǎng)站的真實(shí)IP。
(4)國(guó)外訪問:國(guó)內(nèi)的CDN往往只對(duì)國(guó)內(nèi)用戶的訪問加速,而國(guó)外的CDN就不一定了。因此,通過國(guó)外在線代理網(wǎng)站https://asm.ca.com/en/ping.php 訪問 ,可能會(huì)得到真實(shí)的ip地址。
(5)查詢主域名:以前用CDN的時(shí)候有個(gè)習(xí)慣,只讓W(xué)WW域名使用cdn,禿域名不適用,為的是在維護(hù)網(wǎng)站時(shí)更方便,不用等cdn緩存。所以試著把目標(biāo)網(wǎng)站的www去掉,ping一下看ip是不是變了,您別說(shuō),這個(gè)方法還真是屢用不爽。
(6)Nalookup查詢:查詢域名的NS記錄、MX記錄、TXT記錄等很有可能指向的是真實(shí)ip或同C段服務(wù)器。
