云防护当道,如何绕过云防护来进行渗透测试

一、前言

    本文旨在相互交流学习,建议渗透测试前得到用户许可,再进行。笔者不承担任务法律责任。

二、背景说明

     Twitter上反gong黑客每三天一次发布一条攻陷内地某某单位的门户网站,或者内部应用系统的推文,加上6月1日我国开始施行《网络安全法》,其中第二十一条明确规定:

国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:

(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;

(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;

(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;

(四)采取数据分类、重要数据备份和加密等措施;

(五)法律、行政法规规定的其他义务。

这使得越来越多的单位开始重视放在互联网上的应用系统安全。

      采购传统WAF来解决是一种有效的办法,但是随着硬件设备的添加,或增加单位日常运维成本,或改变单位内部的网络结构,耗时耗力不少,费用也挺高。

      不少厂家为解决上述痛点,开始采用SaaS(Sofeware as a Service)模式的云防护的办法,0部署,0维护,毕竟云计算也是当下的一个热点(大云物移嘛)。

三、云防护的原理

      市面上提供云防护产品的厂家很多,安恒的玄武盾(硬广告还是要植入一波)、知道创宇、上海云盾,BAT中当属阿里最早开始投入阿里云盾(为了这个云盾品牌的所有权,中间好像也有一个插曲,这里不做展开了),百度好像也是最近几年刚开始推百度云。

      简单说下云防护的工作原理:厂家基本都是将用户的域名解析指向到自己的云防护节点上,或者干脆直接采用厂家的DNS解析服务,通过自己的高防云服务器来为用户提供安全防护。云防护节点则部署在各地CDN节点上。

四、绕过CDN节点,查看域名真实IP

      那么重点来了,如何绕过CDN节点,来查看域名真实IP呢?

      网上方法很多,freebuf上也有比较多的文章(比如 http://www.freebuf.com/articles/web/41533.html  实例绕过),笔者这边推荐一些在线检测的办法

      说在前面的话:在线工具也是通过后台服务器去爬取域名的历史信息,因而网站一上线就采用云防护,或者网站比较早,当时没有抓取到信息,那么这些工具也就无能为力了。

     1、www.netcraft.com

     这个老外的网站,在截图所示位置只需要输入你需要查找的域名,就可以列出域名的背景信息,whois信息、历史服务器IP信息,域名采用什么前端语言编写等等信息。

     当然这个网站的作用可远远不止于此,笔者也一直在学习CEH的课程(进度略慢),里面也提及了这个工具来做一些信息收集的任务。

     

      2、https://www.t00ls.net/domain.html

      国内笔者找到的在线工具是tools的域名信息查询功能。它不仅可以帮你查出主域名的一些相关信息,也可以查询出子域名的信息,毕竟用户单位不一定会将所有的子域名进行防护,同时也能查询出采用了哪家的云防护产品等信息。

      3、另外再转发一些方法:

    验证是否存在CDN最简单的办法
        通过在线的多地ping,通过每个地区ping的结果得到IP。
        看这些IP是否一致,如果都是一样的,极大可能不存在cdn,但不绝对。
        如果这些IP大多数都不太一样或者规律性很强,可以尝试查询这些IP的归属地,判断是否存在CDN。
    验证IP和域名是否真实对应最简单的办法
        修改本地hosts文件,强行将域名与IP解析对应。
        然后访问域名查看页面是否变化。
    ping
        假设如下存在cdn ----> ping www.sysorem.xyz
        可以尝试ping sysorem.xyz,很多厂商可能让www使用cdn,空域名不是有cdn缓存。
        所以直接ping sysorem.xyz可能就能得到真实IP。
    分站域名
        很多网站主站的访问量会比较大,所以往往主站都挂着cdn的。
        但是分站就不一定了,毕竟cdn要钱,而且也不便宜。
        所以可能一些分站就没有挂着cdn,所以有时候可以尝试通过查看分站IP。
        可能是同个IP或者同个站都是没准的。
    国外访问
        国内的CDN往往只会针对国内用户访问加速。
        所以国外就不一定了。因此通过国外代理访问就能查看真实IP了。
        或者通过国外的DNS解析,可能就能得到真实的IP。
    MX及邮件
        mx记录查询,一般会是C段。
        一些网提供注册服务,可能会验证邮件,还有RSS订阅邮件,忘记密码等
        可能服务器本身自带sendmail可以直接发送邮件,当然使用第三方的除外(如网易,腾讯等)
        当然这个IP也要验证是否为主站的
        web版的邮件管理,可以通过常看网页源代码看到IP

五、绕过节点进行安全渗透测试

       在得知域名的真实IP之后,我们就可以在hosts文件中绑定域名、IP信息,就可以绕过云防护节点直接访问源了,接下来就是常规模式了。

PS:第四章第三节,笔者转发网上其他作者,如侵犯到你著作权,请联系我删除。

Published by

风君子

独自遨游何稽首 揭天掀地慰生平

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注