如果获取站点真实ip

简介

说到渗透测试,肯定有信息收集;信息收集就涉及服务器ip信息。而通常大型站点都通过了cdn、代理等手段隐藏。本文对这个老话题作一下个人的思路以及姿势总结。

姿势

1、对于存在注册或者留言等能够让站点通过邮件联系的网站,通常可以通过站点发送的邮件找到服务器的真实ip,如bilibili.com:
1
此方法是因为通常大部分公用SMTP服务在发信时邮件头会带上发件者ip,cdn的防护对这种方式完全没作用。解决方式可以参考此链接:https://www.v2ex.com/t/276788
2
2、nslookup命令:对于bilibili.com 该方式同样实用,因为存在MX记录:
3
也可以查找NS、TXT等其他记录进行真实ip的查找。另外还可以使用国外冷门的dns解析域名:nslookup xxx.com y.y.y.y 如果运气好,找到直接解析到服务器真实ip的dns服务器。一查就出来了。
3、Ping:找二级域名,通过ping将网站的二级域名的ip逐个与目标域名相匹配,直到访问成功即可,还有ping秃域名(如对于www.baidu.com,对于ping baidu.com就是ping秃域名),这类方式都是看管理员粗不粗心,如果能找到管理员没有使用cdn的域名,就能找到真实ip了。同样因为很多国内的CDN没有节点对国外服务,也可以使用国外的多节点ping工具,例如just-ping,全世界几十个节点ping目标域名,很有可能找到真实ip。域名:https://asm.ca.com/en/ping.php
4、通过网站的缺陷与漏洞,比如寻找网站上的探针:phpinfo等,寻找网站上的xss、os injection、ssrf等一切可以让服务器主动访问我的vps的漏洞,并成功利用。通过查看日志或者vps的请求记录就能看到真实ip。
5、通过大量信息收集,如通过其他第三方网站查看域名历史解析记录、域名历史信息历史漏洞或者二级域名等然后利用这些获取到的信息进行进一步的ip查找(灵活使用),这下面是常用的几个:

1
2
3
4
5
6
7
8
https://bgp.he.net 
https://toolbar.netcraft.com/site_report?url=www.xxx.com
http://www.17ce.com
http://www.crimeflare.com/
https://domainbigdata.com/goodmbi.com
https://crt.sh/
http://wooyun.jozxing.cc/
https://fofa.so/

最后的fofa是网上学到的姿势之一,通过fofa的HTML源代码检索,复制网页title或者其他信息放fofa进行检索,5173.com可以通过该方法找到真实ip但是前两天我需要查找源ip的网址使用该方法无效,此方法建立在通过fofa能检索到并且html标识够独特的基础下,个人感觉在没有思路的时候也可以试试,有待下一次实践。贴一张图:
4
6、其他没尝试过的姿势:社工到cdn账号密码,怼进去看配置;zmap扫全网,匹配站点信息追溯真实ip;DDOS,把cdn打穿就会回源;通过DNS社工库,找对应的解析记录。

-------------本文结束感谢您的阅读-------------