016-信息打点-CDN绕过&业务部署&漏洞回链&接口探针&全网扫描&反向邮件

016-信息打点-CDN绕过&业务部署&漏洞回链&接口探针&全网扫描&反向邮件

#知识点：

1、CDN服务-解释差异识别
2、CDN绕过-配置差异导致
3、CDN绕过-主动连接获取
4、CDN绕过-全网扫描获取
解决：
1、CDN服务对安全影响
2、CDN服务绕过识别手法**

#补充：

应用服务信息：
FTP、SSH、RDP、SMB、SMTP、LDAP、Rsync等

CDN信息
帝联、Cloudflare、网宿、七牛云、阿里云等

WAF信息
创宇盾、宝塔、ModSecurity、玄武盾、OpenRASP等。

蜜罐信息：
HFish、TeaPot、T-Pot、Glastopf等

其他组件信息
fastjson、shiro、log4j、OA办公等

演示案例：

➢前置后置-CDN服务-识别&绑定访问
➢某应用-CDN绕过-子域名&接口查询
➢某应用-CDN绕过-主动漏洞&遗留文件
➢某应用-CDN绕过-邮件系统&全网扫描

#前置知识：

CDN服务：

原理：内容分发服务，旨在提高访问速度 影响：隐藏真实源IP，导致对目标测试错误

1.传统访问：用户访问域名–>解析服务器IP–>访问目标主机
2.普通CDN：用户访问域名–>CDN节点（虚拟）–>真实服务器IP–>访问目标主机
3.带WAF的CDN：用户访问域名–>CDN节点（WAF）–>真实服务器IP–>访问目标主机

国内服务商：
阿里云 百度云 七牛云
又拍云 腾讯云 Ucloud
360 网宿科技 ChinaCache

国外服务商
CloudFlare StackPath Fastly
Akamai CloudFront Edgecast
CDNetworks Google Cloud CDN
CacheFly Keycdn Udomain CDN77

#CDN配置：

配置1：加速域名-需要启用加速的域名
配置2：加速区域-需要启用加速的地区
配置3：加速类型-需要启用加速的资源

只加速主站点，很容易被相关域名获取到真实IP

#参考知识：

超级Ping：http://www.17ce.com/
超级Ping：https://ping.chinaz.com/
接口查询：https://get-site-ip.com/
接口查询：https://fofa.info/extensions/source
国外请求：https://tools.ipip.net/cdn.php
国外请求：https://boce.aliyun.com/detect/
IP社区库：https://www.cz88.net/geo-public
全网扫描：https://github.com/Tai7sy/fuckcdn
全网扫描：https://github.com/boy-hack/w8fuckcdn
全网扫描：https://github.com/Pluto-123/Bypass_cdn

https://mp.weixin.qq.com/s/zxEH-HMqKukmq7qXfrdnQQ
常见方法：
子域名，邮件系统，国外访问，证书查询，APP抓包，网络空间
通过漏洞或泄露获取，扫全网，以量打量，第三方接口查询等

#前置后置-CDN服务-识别&绑定访问

超级Ping：http://17ce.com/
超级Ping：https://ping.chinaz.com/
各地ping（出现多个IP即启用CDN服务）

后置：绑定HOST访问解析（参考基础课CDN安全影响）

当修改host强制绑定ip（错误ip），可能造成网址连接失败

配置CDN后真实IP被隐藏，根据地区派送访问快的ip

#某应用-CDN绕过-主动漏洞&遗留文件

配置加速选项中只加速主域名，导致其他子域名未加速（解析IP可能同IP也可能C段）

实际案例：https://www.sp910.com/，只加速了主站www.sp910.com,其他子域名没有加速sp910.com

接口查询：https://get-site-ip.com/
接口查询：https://fofa.info/extensions/source
使用网络空间&第三方功能集合查询判断

#某应用-CDN绕过-主动漏洞&遗留文件

1、漏洞如：SSRF RCE等
利用漏洞让对方真实服务器主动出网连接，判断来源IP即真实IP

2、遗留文件：phpinfo类似功能
通过访问类似PHPINFO类似代码函数获取本地IP造成的地址泄漏

#某应用-CDN绕过-邮件系统

常见的邮件触发点有：
1、RSS订阅
2、邮箱注册、激活处
3、邮箱找回密码处
4、产品更新的邮件推送
5、某业务执行后发送的邮件通知
6、员工邮箱、邮件管理平台等入口处的忘记密码

判断条件：发信人是当前域名邮件用户名
让他主动给你发：
部署架设的邮件服务器如果向外部用户发送邮件的话，
那么邮件头部的源码中会包含此邮件服务器的真实IP地址。

网址：https://www.mozhe.cn/

点击显示原文即可获取到真实ip

网络空间测绘，网络空间安全搜索引擎，网络空间搜索引擎，安全态势感知 - FOFA网络空间测绘系统（如果是第三方邮件则没有用处）

自己搭建邮箱（邮箱钓鱼） 你给未知邮箱发：（需要自己的邮件服务器不能第三方）
通过发送邮件给一个不存在的邮箱地址，因为该用户邮箱不存在，所以发送将失败，
并且还会收到一个包含发送该电子邮件给你的服务器的真实IP通知。

#某应用-CDN绕过-全网扫描

1、判断加速厂商
2、IP库筛地址段
3、配置范围扫描
先从IP段去扫描符合开放端口，再从IP去访问看看关键字，将符合结果进行保存！
厂商查询：
https://tools.ipip.net/cdn.php
工具项目：
https://www.cz88.net/geo-publichttps://github.com/Tai7sy/fuckcdn

• 首先通过阿里云服务器+宝塔+zblog搭建博客
• 在博客中更改网站标题等（方便后面填写set.int文件筛选关键词）
• 通过厂商查询：查询到cdn服务商
  https://tools.ipip.net/cdn.php
• 通过ip软件获取到阿里云ip服务范围
• 找到相关范围直接填写进fuckcdn相关目录下的ip.txt中
• 找到文件目录下set.ini只需要修改url：目标网址 和 str；关键词筛选
  • 遇到问题：英文关键词筛选出的有关IP很多
  • 解决：更改为中文关键词即可
• 直接找到fuckcdn.exe,点击运行即可
  • 遇到问题：找不到fuckcdn.exe
  • 解决：重新解压，解压前需要关闭火绒等安全防护软件
• 在ip:port:处写上本机电脑的IP地址，不知道的可以cmd+ipconfig
• 等待程序执行完毕后，打开目录发现多出result_ip.txt，这就是最终结果

#宝塔+云服务器搭建