3.3 服務(wù)器信息收集

3.3.1 真實(shí)IP探測(cè)

隨著網(wǎng)絡(luò)的發(fā)展，很多網(wǎng)站都開始使用CDN，CDN分發(fā)網(wǎng)絡(luò)將源站的內(nèi)容發(fā)布到接近用戶的網(wǎng)絡(luò)“邊緣”，用戶可以就近獲取所需數(shù)據(jù)，不僅降低了網(wǎng)絡(luò)的擁塞狀況、提高了請(qǐng)求的響應(yīng)速度，也能夠減少源站的負(fù)載壓力。在加速網(wǎng)站訪問的同時(shí)也讓滲透測(cè)試人員難以獲取真實(shí)的服務(wù)器IP地址，所以CDN的判斷和繞過是服務(wù)器信息收集的第一步，只有繞過了CDN才可以拿到服務(wù)器的真實(shí)IP信息。

3.3.1.1 CDN判斷方法

1.ping命令

直接使用 ping 命令有時(shí)候也可以查詢到目標(biāo)網(wǎng)站是否使用了CDN。ping命令使用如圖3-6所示。

有時(shí)，可以直接看到waf、cdn等字樣的域名，這就表示目標(biāo)服務(wù)器使用了CDN。不過有很多廠商可能只讓www主站域名使用CDN，空域名或者子域名并沒有使用CDN緩存，所以這種情況下直接使用ping xxx.com 就有可能得到真實(shí)的IP地址。

2.nslookup查詢

不僅可以使用 ping 命令來對(duì)目標(biāo)網(wǎng)站進(jìn)行CDN判斷，也可以使用nslookup命令查詢域名的解析情況，如果一個(gè)域名解析結(jié)果為多個(gè)IP地址，那么多半使用了CDN。nslookup使用如圖3-7所示。

如果只是單個(gè)的域名，那很可能沒有使用CDN。無CDN情況如圖3-8所示。

3.3.1.2 繞過CDN查詢真實(shí)IP

1.多地ping查詢

某些情況下，CDN由于費(fèi)用高昂的原因，使用者可能為了節(jié)約成本會(huì)讓CDN只覆蓋一小部分高流量地區(qū)，所以這樣就有可能被攻擊者利用而探測(cè)到服務(wù)器的真實(shí)IP信息。

2.域名歷史解析記錄查詢

有時(shí)候查詢域名之前的IP解析記錄，也可能會(huì)發(fā)現(xiàn)使用CDN之前的IP信息。

3.其他查詢探測(cè)思路

1）子域名繞過

很多網(wǎng)站主站的訪問量會(huì)比較大，往往使用CDN服務(wù)，但是分站就不一定使用CDN了，畢竟CDN價(jià)格不菲，加上有些企業(yè)的業(yè)務(wù)線眾多，從而出現(xiàn)了主站使用了CDN，分站沒有使用CDN的情況。利用這個(gè)特點(diǎn)可以結(jié)合之前的“子域名爆破”來進(jìn)行真實(shí)IP地址收集。

2）站點(diǎn)功能發(fā)起請(qǐng)求

一些網(wǎng)站提供注冊(cè)服務(wù)，可能會(huì)驗(yàn)證郵件，還有RSS訂閱郵件、忘記密碼等業(yè)務(wù)場(chǎng)景，如果使用服務(wù)器本身自帶的sendmail直接發(fā)送郵件，就可以通過郵件中的顯示郵件原文功能查看到郵件發(fā)送者的真實(shí)IP地址信息。

除利用郵件等功能外，如果目標(biāo)業(yè)務(wù)場(chǎng)景可以對(duì)網(wǎng)站進(jìn)行資源請(qǐng)求，還可以利用對(duì)網(wǎng)站請(qǐng)求的特點(diǎn)讓目標(biāo)服務(wù)器訪問DNSlog這類可以記錄請(qǐng)求IP者信息的網(wǎng)站，以此看到目標(biāo)服務(wù)器的真實(shí)IP地址信息。

3）利用網(wǎng)站漏洞

如果目標(biāo)站點(diǎn)存在漏洞，這就沒辦法避免了。例如，phpinfo敏感信息泄露、Struts 2、網(wǎng)頁源代碼泄露、svn 信息泄露、GitHub信息泄露等。若存在Web漏洞，服務(wù)器主動(dòng)與我們發(fā)起請(qǐng)求連接，我們也能獲取目標(biāo)站點(diǎn)真實(shí)IP地址，如XSS等，不過這種情況比較特殊，因?yàn)榘l(fā)現(xiàn)漏洞是后面滲透的操作，前期收集基本上不會(huì)這么輕易就發(fā)現(xiàn)網(wǎng)站的漏洞。