您现在的位置是:首页 > 教程资讯

怎样运用服务器源IP绕过Cloudflare WAF

作者:果E安全网时间:2020-10-25 19:50:41分类:教程资讯

简介0x00序言Cloudflare是普遍应用的一款Web运用服务器防火墙(WAF)服务提供商,假如我们可以在一秒内绕过这类安全防护,使防御方功亏一篑,那显而易见是十分趣味的一件事。在文中中,大家将详细介绍怎么使用源服务器IP地址绕过CloudflareWAF。必须留意的是,

0x00 序言

Cloudflare是普遍应用的一款Web运用服务器防火墙(WAF)服务提供商,假如我们可以在一秒内绕过这类安全防护,使防御方功亏一篑,那显而易见是十分趣味的一件事。在文中中,大家将详细介绍怎么使用源服务器IP地址绕过Cloudflare WAF。

必须留意的是,这儿提及的方式并不拘泥于Cloudflare WAF,其他类型的WAF很有可能也会遭受危害。

0x01 Cloudflare介绍

Cloudflare适用超出1600万项互联网特性,现在是最火爆的WAF之一。在一年之前,Cloudflare公布了迅速DNS分析服务项目,而且迅速变成最受欢迎的一项服务项目。做为反向代理,WAF不仅出示了对于DDOS的一种安全防护计划方案,还会继续在检验到攻击性行为时开启报警。针对付钱定阅客户来讲,她们还能够挑选对于普遍系统漏洞的安全防护服务项目(如SQLi、XSS及其CSRF),但这种服务项目务必手动式开启,除此之外完全免费客户没法享有这种服务项目。

尽管WAF在阻拦基本payload层面十分合理,但大家持续开发设计绕过Cloudflare WAF的很多方式,而且每日都是会出現新的绕过技术性,因而大家必须時刻检测Cloudflare的安全系数。在我编写文中时,Cloudflare WAF的阻拦情况如下图所显示:

2.png

也是有科学研究工作人员在twiter上出示了一些绕过构思:

3.png

作为一名bug猎人兽(网络黑客),绕过服务器防火墙显而易见是十分有诱惑力的一个每日任务。为了更好地进行该每日任务,大家大部分能够有3种挑选:

1、自定payload以绕过目标布署的标准。尽管提升 本身的服务器防火墙绕过技术性可能是十分趣味的一个全过程,但这也可能是十分繁杂且费时间的一项每日任务。做为bug猎人兽,大家很有可能没法承担这一点,终究時间要素更为关键。如果我们挑选这一方位,那麼能够试着PayloadsAllTheThings中列举的各种各样payload,或是在twiter上检索是不是有解决方法。

2、以适度的方法变更要求,搅乱服务器逻辑性。与上一个选择项同样,这很有可能也是十分用时的一种方法,必须充裕的细心及其把握fuzz专业技能。Soroush Dalili以前出示过一种构思,能够应用HTTP协议书及其Web服务器个人行为来结构这类要求。

3、搜索Web服务器初始IP来绕过Cloudflare。很有可能它是非常简单的一种方式,不用把握尤其的专业技能,也是信息收集全过程中的一个阶段,因而也不会浪费。一旦获得该详细地址,大家从此担心WAF或是别的DDOS安全防护计划方案(例如限定要求速度)。

在文中中,我将重点关注最终一种计划方案,详细介绍如何提取初始服务器IP地址。

留意:Cloudflare也是必须(一般由开发人员或是网站管理员)设定的一种专用工具,因而假如出現不正确配备状况,很有可能会遭受文中叙述的进攻技术性危害。

0x02 信息收集

最先我们可以开展一切正常的信息收集全过程,尽量爬取各种各样IP地址(根据host、nslookup、whois、详细地址段等),随后查验什么服务器开启了Web服务(根据netcat、nmap、masscan等)。一旦获得到Web服务器IP地址,下一步便是查验目标网站域名是不是以云虚拟主机方法代管在某一服务平台上。如果不选用这类方法,大家就可以见到默认设置的服务器网页页面或是默认设置配备的网站网页页面,不然大家就找到突破口。这儿我们可以应用Burp:

1、恰当的二级域名相匹配不正确的IP地址:

1.jpg

2、不正确的二级域名相匹配恰当的IP地址:

2.jpg

3、恰当的二级域名相匹配恰当的IP地址,极致:

3.jpg

自然一些专用工具能够帮大家自动化技术进行这一全过程:

https://pentest-tools.com/information-gathering/find-virtual-hosts

https://github.com/jobertabma/virtual-host-discovery

https://github.com/gwen001/vhost-brute

0x03 Censys

如果我们的目标布署了SSL证书(十分一切正常的状况),那麼大家就可以应用Censys数据库查询(强烈要求大伙儿定阅该服务项目)。在文本框中挑选“Certificates”,键入目标网站域名,随后回车键。

大家应当能见到与目标相匹配的资格证书目录:

1.png

我们可以点一下每条結果,查看详细信息。在右边的“Explore”菜单中选择“IPv4 Hosts”:

2.png

那样就能见到应用该资格证书的服务器的IP地址:

3.png

我们可以从这考虑,获得能找到的全部IP,随后运用前边的方式试着浏览目标資源。

0x04 电子邮件头

下一步便是获取目标电子邮件中的头顶部信息,例如我们可以定阅目标服务项目,建立帐户,应用“密码忘了”作用,或是购买一些商品……总而言之,我们要想办法让目标让我们推送一封电子邮件(这类情景下我们可以应用Burp Collaborator)。

接到电子邮件后,我们可以查看源文件,尤其是在其中的电子邮件头,纪录下在其中的全部IP地址,包含二级域名,这种信息很可能与托管服务相关。随后,我们可以试着根据这种详细地址浏览目标。

这儿我一般会应用Return-Path头顶部字段名,屡试不爽:

4.png

应用Curl来检测:

6.png

另一个方法就是以自身电子邮箱向目标不会有的某一邮件地址推送一封电子邮件。假如递送不成功,大家应当能接到服务器端意见反馈的通告(这儿谢谢@_3P1C小伙伴们出示的构思)。

0x05 XML-RPC Pingback

它是WordPress中十分著名的一款专用工具,XML-RPC(Remote Procedure Call)容许管理人员应用XML要求来远程访问blog,而pingback是ping要求的回应。当网站A连接网站B时便会实行ping要求,随后网站B会通告网站A已接到要求,这就是pingback体制。

我们可以启用https://www.target.com/xmlrpc.php来确定该作用是不是处在开启情况,应当能接到一条信息:“XML-RPC server accepts POST requests only”。

依据WordPress的XML-PRC Pingback API,该涵数接受2个主要参数:sourceUri及其targetUri。在Burp Suite中的检测全过程如下图所显示:

1.jpg

0x06 别的科研成果

假如我们无法应用这种方式寻找初始IP,或是在开展信息收集时,目标网站沒有布署防护措施,但最终却布署结束,这类状况下我们要记牢一点:有时目标自身就可以告知大家很多有使用价值的信息。

这儿基础的基本原理便是想办法让目标Web服务器向我们自己的服务器/Collaborator进行要求。大家还可以选用别的方法,例如SSRF、XXE、XSS或是大家寻找的别的突破点,引入包括我们自己服务器详细地址的payload,随后在服务器上查验相匹配的系统日志。假如寻找一切真相,能够进一步查验云虚拟主机信息。

这类状况下,假如目标Web服务器适用,那麼即便 非常简单的系统漏洞(例如Open Redirect或是HTML/CSS引入)都能充分发挥关键功效。

0x07 有关专用工具

前边大家探讨了怎样手动式搜索并查验IP地址,幸运的是,全部小区中有很多热情的开发人员,帮大家开发设计了很多有效的专用工具,能够巨大节约大家的上班时间。当发觉目标布署Cloudflare防护措施后,大家就可以在信息收集全过程中应用这种专用工具。

必须提一下,这种方式并不可以确保100%合理,由于每一个目标的具体情况都各有不同,适用某一目标的方式很有可能不适感用以别的目标,我们建议是大伙儿能够都试着一下。

这种专用工具包含:

Cloudsnare.py:censys资格证书信息(必须API密匙)

HatCloud:crimeflare、ipinfo.io

CrimeFlare:crimeflare、ipinfo.io

bypass-firewalls-by-DNS-history:securitytrails、crimeflare

CloudFail:dnsdumpster、crimeflare、二级域名暴力破解密码

CloudFlair:必须censys API密匙

CloudIP:根据nslookup查看一些二级域名(如ftp、cpanel、mail、direct、direct-connect、webmail、portal等)

2.jpg

3.jpg

0x08 DNS資源

根据前边剖析,大家早已了解最重要的一点便是尽量多地获得有关IP地址,无论选用哪些方法。DNS服务器显而易见是最非常值得关心的关键,而且历史时间DNS纪录始终没法从互联网技术上抹除。这类状况下,我们可以考虑到应用以下資源来搜索所需信息:

Netcraft:https://toolbar.netcraft.com/site_report?url=

dns-trails:https://securitytrails.com/dns-trails

DNSQueries:https://www.dnsqueries.com/en/domain_check.php

DNSdumpster:https://dnsdumpster.com/

Shodan:https://www.shodan.io/search?query=

还可以在HackerOne上寻找一些历史时间实例:

https://hackerone.com/reports/255978

https://hackerone.com/reports/360825

{X }  https://hackerone.com/reports/315838

  0x09 总结

  在安全行业中我们经常提到一句话:“一只水桶能装多少水取决于它最短的那块木板”。不论我们在配置Cloudflare上花了多少时间及精力,如果Cloudflare被绕过、或者Web应用可以通过服务器IP直接访问,那么Cloudflare提供的所有防护措施都将形同虚设。

  可能还有其他许多方法能达到相同目的,如果大家有更好的意见或者建议,欢迎随时联系我。

  虽然我个人认为这方面技术并不值得专门反馈给厂商,但根据Soroush Dalili小伙伴的建议,绕过Cloudflare应该属于安全方面的错误配置,因此还是需要关注这方面风险。

  0x0A 拓展阅读

  Introducing CFire – Evading CloudFlare Security Protections

  Cloudflare Bypass Security

  Exposing Server IPs Behind CloudFlare

  CloudFlair – Bypassing Cloudflare using Internet-wide scan data

  Cloudflare IP ranges

  ————————————————————————————————

  原文:https://www.anquanke.com/post/id/183238#h2-0

  

  上一篇AT&T被黑客攻击 - 员工贿赂感染网络下一篇捆绑后门的艺术–CobaltStrike backdoor分

郑重声明:

果E安全网所有活动均为互联网所得,如有侵权请联系本站删除处理,转载请注明本站地址。

我来说两句