Как узнать IP за cloudflare и другими waf и CND

Discussion in 'Этичный хакинг или пентестинг' started by PapaRed, 5 Feb 2019.

  1. PapaRed

    PapaRed Elder - Старейшина

    Joined:
    30 Jun 2010
    Messages:
    23
    Likes Received:
    70
    Reputations:
    26
    Как узнать IP за cloudflare и другими waf и CND

    Предварительно очень важно определять WAF / CND и про это будет отдельная статья, в этой же статье мы будем говорить не об определении WAF,а о том как найти реальный IP за CND/WAF​
    1. поддомен bruteforce ( https://github.com/aboul3la/Sublist3r ) и https://github.com/appsecco/bugcrowd-levelup-subdomain-enumeration & https://github.com/Elsfa7-110/Sfa7sub
    2. sslyzer (получите ssl-сертификат и информацию о других доменах и извлеките их ip по сравнению с нашим доменом для получения реального ip) https://github.com/iSECPartners/sslyze
    3. отправьте письмо на неправильный почтовый адрес и получите возможный ответ сервера:
    4. https://github.com/mandatoryprogrammer/cloudflare_enum (работает нормально, извлекает csv) (логин http://www.crimeflare.info/cfnsdump.html , http://www.crimeflare.com/cfs.html получить информацию об этих базах и работать с ней (используйте для разрешения реального ip)
    5. Может быть полезно https://github.com/SageHack/cloud-buster и https://github.com/hasanemrebeyy/cloudflare-resolver
    6. Получить историю изменения IP-адресов домена https://github.com/neocorv/rdns.py , распаковать и проверить
    7. зайдите на https://webresolver.nl/tools/cloudflare этот веб-сайт и проверьте его API после интеграции, если у них есть база данных для разрешения.
    8. https://github.com/m0rtem/CloudFail посмотрите здесь, чтобы увидеть, пропустили ли мы что-то (DNSDumpster.com)
    9. Перейдите на https://www.netcraft.com/ и просмотрите историю домена - мы можем найти ее оттуда. ( https://github.com/PaulSec/API-netcraft.com )
    10. https://github.com/danneu/cloudflare-ip cloudflare range
    11. ПРОВЕРЬТЕ DNS субдомена - это может дать нам реальные DNS и IP http://support.simpledns.com/kb/a196/how-to-delegate-a-sub-domain-to-other-dns-servers.aspx
    12. https://builtwith.com/relationships/lol.com найдите другие домены, получите их IP и попробуйте этот IP на интересующем домене
    13. https://github.com/vulnz/cloudflare/tree/master/cloudsub IP-ресолвер простых поддоменов
    14. https://github.com/pirate/sites-using-cloudflare Проверить в этом списке CloudBleed
    15. Банальная регистрация и просмотр заголовков письма, которое прийдёт. Можно использовать сервис https://mxtoolbox.com/EmailHeaders.aspx
    16. Просмотр исходных данных на наличие случайно вытекших IP в html тегах и JS скриптах.
    17. Просмотр соединений ( сокетов) с серверами также могут дать искомый результат.
    18. Банальный поиск используя различные поисковые системы.
    19. Использование подобных сервисов для просмотра IP по домену которое могли оказаться в кеше http://www.ip-neighbors.com/host/
    20. Использование сервисов типа cy-pr, pr-cy которые также кешируют данные у себя.
    21. https://github.com/pirate/sites-using-cloudflare Также можно посмотреть по этой базе CloudBleed
    22. Просканьте субдомены субдоменов (они также могут быть на разных IP)
    Расшил и добавил инфу из своей репы, также есть няшный простенький ресолвер:
    https://github.com/vulnz/cloudfailed
     
    #1 PapaRed, 5 Feb 2019
    Sprut12, 4Fun, devton and 19 others like this.
    1. FrauMardzh

      FrauMardzh New Member

      Joined:
      24 May 2019
      Messages:
      2
      Likes Received:
      0
      Reputations:
      0
      обычно ip узнается обычным перечисление поддоменов)
       
      #2 FrauMardzh, 24 May 2019
      1. b3

        b3 Banned

        Joined:
        5 Dec 2004
        Messages:
        2,174
        Likes Received:
        1,157
        Reputations:
        202
        немного от себя добавлю ссылок:

        Code: 
        DNS enum:

http://whois.domaintools.com/
https://toolbar.netcraft.com/site_report
https://www.robtex.com/
bing.com     ip:127.0.0.1
https://github.com/guelfoweb/knock

lbd - load balancing detector 0.4 - Checks if a given domain uses load-balancing. Written by Stefan Behte (http://ge.mine.nu)
dnsmap 0.30 - DNS Network Mapper by pagvac (gnucitizen.org) searching (sub)domains using built-in wordlist
amass enum --passive -d intellexa.com

https://github.com/subfinder/subfinder
https://github.com/TheRook/subbrute
https://github.com/aboul3la/Sublist3r
https://pentester.land/cheatsheets/2018/11/14/subdomains-enumeration-cheatsheet.html

https://censys.io/domain?q=
https://securitytrails.com/domain/
https://viewdns.info
http://www.crimeflare.org:82
https://dnsdumpster.com/
         
        #3 b3, 17 Oct 2019
        quite gray, fandor9, Turanchocks_ and 1 other person like this.
        1. winstrool

          winstrool ~~*MasterBlind*~~

          Joined:
          6 Mar 2007
          Messages:
          1,413
          Likes Received:
          910
          Reputations:
          863
          nmap --script dns-brute --script-args dns-brute.domain=DOMAIN.COM,dns-brute.threads=100,dns-brute.hostlist=/FULL_PATH/BIG_DIC_LIST.txt -n -p 80,443
           
          _________________________
          #4 winstrool, 18 Oct 2019
          quite gray likes this.
          1. grimnir

            grimnir Members of Antichat

            Joined:
            23 Apr 2012
            Messages:
            1,114
            Likes Received:
            830
            Reputations:
            231
            https://github.com/projectdiscovery/subfinder
            2 версия вышла. Не забудьте файл конфига настроить верно и подключить censys и shodan -выдача в почти 2 раза повышается!
             
            _________________________
            #5 grimnir, 5 Dec 2019
            quite gray and Baskin-Robbins like this.
            1. b3

              b3 Banned

              Joined:
              5 Dec 2004
              Messages:
              2,174
              Likes Received:
              1,157
              Reputations:
              202
              https://github.com/EnableSecurity/wafw00f
               
              #6 b3, 10 Dec 2019
              quite gray, Ardddz and Baskin-Robbins like this.
              1. crlf

                crlf Green member

                Joined:
                18 Mar 2016
                Messages:
                683
                Likes Received:
                1,513
                Reputations:
                460
                Иногда может стрельнуть поиск по MurmurHash-у favicon-а:

                https://isc.sans.edu/diary/Hunting+phishing+websites+with+favicon+hashes/27326
                 
                #7 crlf, 26 Nov 2021
                4Fun, Eidolon, Svan and 5 others like this.
                1. lifescore

                  lifescore Elder - Старейшина

                  Joined:
                  27 Aug 2011
                  Messages:
                  651
                  Likes Received:
                  511
                  Reputations:
                  72
                  Странно что отсутствует в упоминаниях..
                  Даже не перед носом, а в в самом же cf

                  Регаем (free) акк, переходим на добавление домена, вбиваем хост уже сидящий на фларе.
                  Видим интересности после сбора dns. (dns по идеи скан не должен быть отличителен в результате от запущенного подобного вне cf, но однозначно cf подтягивает часть инфы и от себя).

                  p.s. была мысль что при регистрации аккаунта крепятся пара cf ns'ок, и в случае совпадения пары ns при добавлении домена оставили бы - не баг а фичу, было бы море domain takeover. (if ns1+ns2 = active now==set any else nsX-nsX2)
                  Но CF же не похожи на глупцов верно? мб есть смысл оглянуться вокруг, уверен такие найдутся...
                   
                  #8 lifescore, 16 Feb 2022
                  (You must log in or sign up to post here.)