CloudFlare防御下的破绽：寻找真实IP的几条途径

本文仅表明做者独立观点，本文说起的技术仅供安全研究和渗透测试用途

看Twitter发现CloudFlare总裁什么的最近很高调，北京、香港的跑着参加会议、发表演说什么的，CloudFlare彷佛也没那么牛逼吧。前段就关注过比较火热的CloudFlare如何抵御住大流量的攻击。政治跟咱没毛线关系，但你说你那么牛，这就有点不太合适了吧。

目前大部分的网站都基于虚拟化部署，说的高大上一点就是云技术和CDN技术。在闲暇之余也关注过这个事情，毕竟是比较先进的技术，之前传统的入侵渗透都是基于单主机，最多就是做一下负载均衡和反向代理。因此在寻找网站的真实IP上，不用费太多的力气，对真实主机进行信息探测和其余的操做。就很少废话，你们都懂，说多了有装逼之嫌。

如今不少网站都使用CloudFlare提供的服务，你们可能以往也都遇到过，如何绕过CloudFlare的防御，找到真是的网站IP，估计你们都比较蛋疼，确定不止我一我的蛋疼。其实就前段时间CloudFlare被DDoS的事件，直接点说就是那个投票网站被DDoS，没搞死的重点不是CloudFlare的防御牛逼，而是木有找到网站服务器的真是IP，那么多攻击方式，那么大的流量，我想搞死一个小网站是分分钟的事情。扯淡扯远了，咱讨论的是如何找到通过CloudFlare防御的主机真实IP。在Wooyun里面有过关于CDN找真实IP的讨论，我在这里也说一下我我的的一些经验，就拿CloudFlare的客户作例子。

找真实IP是个体力活，须要各类耐心和运气成分。

常规的方式一，找子站和子域名，看看有没有子站没有通过CDN的防御，二级，三级甚至四级域名。

2、查找看看有没有邮件系统，通常的邮件系统不少都是在内部，没有通过CDN的解析，这样经过查看原始的邮件头部，能够看到真实的IP。第三就是经过查询域名历史信息，通常的域名的历史信息，仍是能够查询到真实IP的，CloudFlare有个比较弱智的硬伤，这是经过一段时间观察分析所得出的结果，这个也多是一个设计的缺陷,也多是为了管理识别。大部分经过CloudFlare保护的网站都有一个direct-xxx（xxx对应网站域名）的子站，经过这个子站咱们能够得到该网站的真是IP。例如这里我随便找个网站，咱们手工测试一下：

咱们不作DDOS，不必去较真网站的真实IP是什么，但若是渗透过程当中须要从Web入手，而暂时又找不到可利用的漏洞，须要经过其余弱智的方式来进行入侵，如各类C段的渗透等，那样真实的网站IP就显得比较重要了。OK，先ping一下，看看, 141.101.122.201，美国。

试试刚才说的那个方法

蛋疼了，被CloudFlare隐藏的那是至关的深了，这果真是特殊照顾的客户啊。这里就不得不祭出神站了，提到一个比较叼的网站，www.crimeflare.com，网站有个DomainSearchBox，能够对CloudFlare客户网站进行真实IP查询。这个估计是哪一个哥们跟CloudFlare网站过不去创建的吧。 

果断发现真实IP，147开头，香港大学的，具体地址就不透露了，省得顺丰快递上门服务。如何验证真实性呢，最简单的办法就是修改本地的Host文件，真实的IP对应与之对应的域名便可。可是验证了一下，发现不对，这只是曾经用过的一台服务器IP地址，应该是这鸟网站扛不住的时候CF帮忙搬家了，这里只能呵呵一下。看了下C段，全是香港大学的机器，没啥兴趣，搞来意义不大，就不浪费时间了。而后各类抓包分析，后来仍是没突破，最终拿到了个CDN的小工具，相似于核总写的CDN终结者同样吧（某大牛，具体名字就不方便透露了），配和工具倒腾了会，居然还真让我找到了一个在美国的IP地址（54.xxx.xxx.xx），查一下地址看看。

验证后果真为真实服务器，果真是AWS地址上，也验证了以前全部的想法，原来躲在了在亚马逊云上面，又是用的EC2产品，对ec2不太了解，注册了个aws看了看，对于EC2这种产品没有0Day是基本直接渗透没但愿的。

不过写这个文章的时候手贱又看了下，发现真实的IP又变回了香港大学，具体的地址本身查均可以验证的，不能说太多，小心顺丰快递和那啥。

好不容易挖出这个站，固然也不想轻易放过，继续，各类扫描器一并带出，端口、路径、AWVS纷纷上去，果真让我找到一个复杂一点的注入点（估计如今没了额），就是HTTP头部的延迟注入，抓个POST包，构造以下：

好了，那就丢SQLMap里去跑吧：

MySQL的数据库，Web仍是和数据库分离，好吧，就不考虑导出Shell了，看看数据走人吧。一个个字母的出来，果真好慢啊。耐心等待吧，爆出版本、路径了，继续爆爆数据库、数据表、列名什么的。不过这破数据就电话和身份证号有用点吧，连个名字都没有，指定下列名什么的，就开始Dump了，一列身份证号，一列手机号，香港人和咱又扯不上什么关系，尽管社吧。

漏洞验证完毕，其余数据就不在话下了。多的就不说了，已打包在附件中，为保护本身的水表，惧怕警察蜀黍啊，因此特地加密。解压密码能够私聊，仅做技术交流吧，此次也算是遇上了一次潮流，分析了分析。

补充一：花了必定时间，也翻遍了核总、鬼仔等大牛的博客，更是多亏算是0Day级的针对CDN的分析、抓包工具吧，因此才有此次针对CloudFlare公司的产品和客户的一次全面分析。有人质疑CloudFlare不能表明全部CDN公司，其实我以为这个是一通百通的道理，而且关键是在于积累，人家技术也确实牛逼，这点不得不认可，亚马逊云主机EC2不谁都没漏洞利用工具么，因此绕过不容易，搞定也不容易，贵在坚持。

补充二：关于数据的问题，做为搞技术的，尤为是白帽子而言这些数据对我没有任何意义，漏洞证实须要才会稍微注入一下，最终也是利用Sqlmap完整脱裤，网盘地址：http://1drv.ms/1vcg96F。目前仅限于私底下交流，密码私信，JC请绕道。

原文地址