3.3 服務器信息收集

3.3.1 真實IP探測

隨著網絡的發展，很多網站都開始使用CDN，CDN分發網絡將源站的內容發布到接近用戶的網絡“邊緣”，用戶可以就近獲取所需數據，不僅降低了網絡的擁塞狀況、提高了請求的響應速度，也能夠減少源站的負載壓力。在加速網站訪問的同時也讓滲透測試人員難以獲取真實的服務器IP地址，所以CDN的判斷和繞過是服務器信息收集的第一步，只有繞過了CDN才可以拿到服務器的真實IP信息。

3.3.1.1 CDN判斷方法

1.ping命令

直接使用 ping 命令有時候也可以查詢到目標網站是否使用了CDN。ping命令使用如圖3-6所示。

有時，可以直接看到waf、cdn等字樣的域名，這就表示目標服務器使用了CDN。不過有很多廠商可能只讓www主站域名使用CDN，空域名或者子域名并沒有使用CDN緩存，所以這種情況下直接使用ping xxx.com 就有可能得到真實的IP地址。

2.nslookup查詢

不僅可以使用 ping 命令來對目標網站進行CDN判斷，也可以使用nslookup命令查詢域名的解析情況，如果一個域名解析結果為多個IP地址，那么多半使用了CDN。nslookup使用如圖3-7所示。

如果只是單個的域名，那很可能沒有使用CDN。無CDN情況如圖3-8所示。

3.3.1.2 繞過CDN查詢真實IP

1.多地ping查詢

某些情況下，CDN由于費用高昂的原因，使用者可能為了節約成本會讓CDN只覆蓋一小部分高流量地區，所以這樣就有可能被攻擊者利用而探測到服務器的真實IP信息。

2.域名歷史解析記錄查詢

有時候查詢域名之前的IP解析記錄，也可能會發現使用CDN之前的IP信息。

3.其他查詢探測思路

1）子域名繞過

很多網站主站的訪問量會比較大，往往使用CDN服務，但是分站就不一定使用CDN了，畢竟CDN價格不菲，加上有些企業的業務線眾多，從而出現了主站使用了CDN，分站沒有使用CDN的情況。利用這個特點可以結合之前的“子域名爆破”來進行真實IP地址收集。

2）站點功能發起請求

一些網站提供注冊服務，可能會驗證郵件，還有RSS訂閱郵件、忘記密碼等業務場景，如果使用服務器本身自帶的sendmail直接發送郵件，就可以通過郵件中的顯示郵件原文功能查看到郵件發送者的真實IP地址信息。

除利用郵件等功能外，如果目標業務場景可以對網站進行資源請求，還可以利用對網站請求的特點讓目標服務器訪問DNSlog這類可以記錄請求IP者信息的網站，以此看到目標服務器的真實IP地址信息。

3）利用網站漏洞

如果目標站點存在漏洞，這就沒辦法避免了。例如，phpinfo敏感信息泄露、Struts 2、網頁源代碼泄露、svn 信息泄露、GitHub信息泄露等。若存在Web漏洞，服務器主動與我們發起請求連接，我們也能獲取目標站點真實IP地址，如XSS等，不過這種情況比較特殊，因為發現漏洞是后面滲透的操作，前期收集基本上不會這么輕易就發現網站的漏洞。