番外篇8——绕过CDN寻找真实IP

catfish2018

编辑于 2022年09月19日 12:30

收录于文集

共25篇

授课对象：跟着本套渗透测试课程学习的同学们

本节课掌握的知识点：

对CDN有一个初步的理解
掌握1-2种绕过CDN查找真实ip的方法

找真实IP是个体力活，需要各种耐心和运气成分。本次教程只是一个引子。

以下CDN的解释摘录自阿里云的网站

什么是CDN?

内容分发网络（Content Delivery Network，简称CDN）将源站资源缓存至服务提供商（如阿里云）遍布全球的加速节点上。当终端用户请求访问和获取这些资源时，无需回源，系统将就近调用CDN节点上已经缓存的资源。在不同区域、不同场景下使用CDN加速您网站内容的分发，将有效分担源站压力，避免网络拥塞，提升用户访问资源的速度和体验。

工作原理

假设我们源站域名为：www.a.com 接入 CDN 开始使用加速服务后，当终端用户（北京）发起 HTTP 请求时，实际的处理流程如下：

1. 终端用户（北京）向 www.a.com下的某资源发起请求，会先向 LDNS 发起域名解析请求。

2. 当 LDNS 解析 www.a.com 时，会发现已经配置了 CNAME www.a.tbcdn.com。

3. 解析请求会发送至阿里云DNS调度系统，并为请求分配最佳节点 IP。

4. LDNS 获取 DNS 返回的解析 IP。

5. 用户获取解析 IP。

6. 用户向获取的 IP 发起对该资源的访问请求。

(1) 若该 IP 对应的节点已经缓存了该资源，则会将数据直接返回给用户（如图中步骤

7、8），此时请求结束。

(2) 若该节点未缓存该资源，则节点会向业务源站发起对该资源的请求。获取资源后，

结合用户自定义配置的缓存策略（可参考产品文档中的缓存配置），将资源缓存至节点（如图：北京节点），并返回给用户，此时请求结束。

如何绕过CDN查找真实IP?

首先使用多地ping的服务，查看对应IP地址是否唯一，如果不唯一，多半是使用了CDN。

http://ping.chinaz.com，我们以www.XX.com为例。

发现，IP地址不唯一，说明使用了CDN。

然后使用多种方法去绕过CDN，查找真实IP。

方法0:ping

直接ping域名，ping XX.com 因为很多厂商可能让www使用cdn，空域名不使用CDN缓存。所以直接ping空域可能得到真实IP。

先圈定122.228.244.222

方法1：查看历史DNS记录

查看IP与域名绑定的历史记录，可能会存在使用CDN前的记录：

使用工具：http://viewdns.info/

发现历史IP为122.228.244.222 113.107.42.14

ping 113.107.42.14发现不通，圈定122.228.244.222

方法2：子域名入手

因为CDN不便宜，而且很多网站主站的访问量会比较大，所以往往主站都是挂了CDN的但是分站就不一定了，所以可能一些分站就没有挂CDN，有时候可以尝试通过查看分站IP，可能是同个IP或者同个站都是没准的。可以使用网站：

https://dnsdb.io/zh-cn

虽然没有开VIP，网站隐藏了信息，但是看前面几位，跟前面圈定的122.288.244.222是吻合的。

方法3：Mx记录或邮件

很多站点都有发送邮件sendmail的功能，如Rss邮件订阅等。而且一般的邮件系统很多都是在内部，没有经过CDN的解析。可在邮件源码里面就会包含服务器的真实IP。

我在网站上用17740XXXXX手机号注册了一个账号，然后让服务器给我发邮件。

服务器合法服务主动连接我们同上一样的思路就是让服务器主动连接我们告诉我们它的IP，不过使用的是合法的服务，如RSS邮件订阅，很多网站都自带 sendmail，会发邮件给我们，此时查看邮件源码里面就会包含服务器的真实 IP 了。

X-Originating-IP 是找到发送者的原始IP。在这里的IP是122.228.244.237。跟前面的IP不一样。但这也可能只是邮件服务器的IP。

方法4：nslookup www.XX.com DNS

DNS使用国外冷门的dns，我收集了一堆：

77.88.8.8

80.80.80.80

84.200.70.40

199.85.126.10

208.67.222.222

8.26.56.26

但是，无法得出想要的测试结果。

方法5：使用phpinfo之类的探针

未成功，没找到上传点。

以上就是绕过CDN查找真实IP的方法，方式很多，尽量找到真实IP会帮助我们收集更多的有用的IP资料。