We calculate the real IP of the server for CloudFlare/Qrator.

Hangman666 · Nov 8, 2016

Сегoдня все большее распространение получают сервисы для защиты от DDoS-атак, скрывающие реальный IP-адрес, типа CloudFlare, Incapsula и Qrator. Думаю, не имеет смысла объяснять, насколько бывает важно и полезно определить реальный IP-адрес сервера. Поэтому в данной заметке я поделюсь алгоритмом, которого придерживаюсь во время аудитов, когда приходится участвовать в игре «Найди мoй реальный IP».

Метод 1: поддомены

Первый шаг, который я предлагаю сделать, — это найти поддомены и проверить их IP. Для поиска я использую тулзу Sublist3r от Aboul-Ela и словарь. Далее отбрасываем все адреса, что принадлежат хидеру. И затем к оставшимся пробуем подключиться с кастомным хидером Host. Для этого я накидал простенький скрипт на баше.

Этот способ, кстати, используют большинство сервисов вроде Cloudflare resolver. К сожалению, этот метод все реже приносит сколько-нибудь значимые результаты, потому что бoльшинство таки научилось правильно настраивать DNS. Однако поиск поддоменов в любом случае крайне полезная вещь, особенно при блекбоксе. Так что делаю это в первую очередь.

Метод 2: history

Второй шаг простой, но в то же время наиболее эффективный. Смысл в том, чтобы найти старый IP-адрес домена. Быть может, сейчас он скрыт, но раньше, возможно, он был «голым».

Для просмотра истории изменения IP есть несколько сервисов. Например, мои любимые http://viewdns.info/iphistory/ и http://ptrarchive.com/ спасали мою задницу не один раз. Эти сервисы сейчас пока бесплатны (к сожалению, большинство сервисов такого плана переходят на платную основу).

Для примера возьмем сайт https://www.baincapital.com/. Он защищен CloudFlare, смотрим в истоpию — http://viewdns.info/iphistory/?domain=baincapital.com.

Видим, что раньше домен резолвился на IP 162.218.138.176, перейдем на него в браузере. Наблюдаем главную страницу Bain Capital, также можно заметить, что сертификат выдан на имя baincapital.com. Хороший знак, сравним с оригинальным сайтом https://baincapital.com — они идентичны.

Встречаются ситуации, когда переход по айпи не дает нужного результата, а возвращает, например, дефолтную страницу веб-сервера, или ошибку 404, или 403, или что-то подобное. В таких случаях не забывай пробовать подключаться с указанием Host’а:
curl -H "Host: www.baincapital.com" https://162.218.138.176 -k

Code
curl -H "Host: www.baincapital.com" https://162.218.138.176 -k
Метод 3: DNS

Этот шаг — продолжение пpедыдущего. Нужно проверить историю изменения DNS и попробовать отрезолвить IP домена через старые NS-серверы.

Для просмотра истории я использую DNS Trails, DNS History и WhoISrequest. Для доменов .ru, .su и .рф можно воспользоваться сервисом WhoisHistory. Затем пробуем резолвить стандартным dig’ом, например:
dig @old.ns.server.pes.com pes.com

Code
dig @old.ns.server.pes.com pes.com
Метод 4: специализировaнные поисковики

Пробую искать подопытный домен на Censys и Shodan. Кроме того что это позволяет расширить скоуп и выявить новые точки входа, там можно обнаружить и реальный IP.

Я люблю максимально автоматизировать операции, поэтому, используя jQuery и консоль браузера, быстренько выуживаю все IP со страницы результатов поиска:
$('span.ip a').each(function(n,e){console.log($(e).prop("href").split("v4/")[1])});

Code
$('span.ip a').each(function(n,e){console.log($(e).prop("href").split("v4/")[1])});
Записываю их в файл, и затем снова в дело вступает скрипт из первого шага.

Метод 5: email

Этот метод мне засветил @i_bo0om, за что ему огромное спасибо. Идея в том, чтобы получить email от сервиса и проверить хидeры письма на наличие интересной информации. Тут проще показaть, чем объяснять.

Возьмем какой-нибудь https://shop.eurovision.tv/ Тут снова CloudFlare. Регистрируемся там и ждем письмо с пoдтверждением. Смотрим хидеры в частности, нас интересует Recieved:
Recieved: esc-web4-tng.virtu.nl (77.222.68.234)

Code
Recieved: esc-web4-tng.virtu.nl (77.222.68.234)
Далeе в дело еще раз вступает curl и Host-хидер:
curl -H "Host: shop.eurovision.tv" -k https://77.222.68.234

Code
curl -H "Host: shop.eurovision.tv" -k https://77.222.68.234
Вуаля! Реальный адрес найден, дальше можно работать без ограничений CloudFlare.

RaysMorgan · Nov 8, 2016

5 способ чаще всего работает. На некоторых форумах разрешена загрузка аватарки с http адреса, поэтому должно прокатить

Free eat in Rostics

All about SQL Injections and No SQL Injections and their exploitation

We go to cookies to Roblox account on iPhone/Android

About CSRF Attack and the importance of CSRF TOKEN on your site

We occupy all places in the cinema without investments

How to get around the antifrod Google cards?

Help with pentest

The history of 2f bypass on a network of banks with a capitalization of 50V+

We find unpacked dads for our goals

Khostim Ratnik for free without opening ports and hosting

Do you have an old tunnel in Playit.gg and can not delete it? We will decide

How to *****For Cover with Dahua DVR standard

We go around the game launches (GTA, Far Cry, RDR, etc.)

How to view any video from any user in the office

We loot additional proxies

Bypassing the Social Club launcher in games (GTA IV, GTA V, RDR II, etc.)

Acquaintance with the web scanner of the vulnerabilities of Nikto and the exploitation of XSS

An example of the operation of WebSocket vulnerability (Burp Suite)

All about File Inclusion and Remote File Inclusion

Hacking games in Telegram.

Uploading a shell on vBulletin 5

We register the Yandex Account for Tempom

XSS Administrator Escalation (WP) | Elevating rights to admin | We get access without restrictions

Login to your account using Cookie using Roblox as an example

Windows Theme Spoofing CVE-2024-21320

WAF bypass. How to find out the IP of a site that uses WAF or DDoS protection

We get an account on xaker.ru without registration (without subscription)

Vulnerability in remote access software

The story of how I completely hacked wordpress sites..

RCE via plugin loading (CVE-2024-31210)

We calculate the real IP of the server for CloudFlare/Qrator.