evading-cloudflare-protection
1.老舊的cloudflare配置
cloudflare有一個直連DNS記錄:direct-connect
,可以直接訪問目標網站?不過隨著DDOS攻擊的泛濫,現在cloudflare把這個’繞過子域名’替換成更加隨機的域名(dc-######-隨機的hex雜湊)
2.MX記錄
MX記錄一般會顯示網站的郵箱伺服器地址,基本上郵箱伺服器地址都是目標的真實IP段,不過現在越來越多的郵箱服務都是託管在雲上。如果目標使用的是office 365作為郵件伺服器,那麼可以到office 365上隨便輸入該網站一個不存在的郵箱,那麼會自動跳轉到目標的郵箱伺服器。如果不存在,則提示沒有這個ID;如果是託管,顯示不變,也不跳轉。
3.子域名
4.WEBSOCKET服務
cloudflare提供了針對websockets技術服務的訪問,但是有些使用者可能還不知道或者還未從自己的WS伺服器上遷移過來。加上WS服務需要始終保持客戶端服務端的連線,真實IP暴露的機率很大。
5.以前的DNS記錄
可以在ofollow,noindex">https://www.netcraft.com/網站查詢網站的歷史紀錄,可能會包含真實IP地址
6.多地PING
目標可能購買的CDN服務沒有覆蓋全球,如果使用全球多個節點來ping,那麼可能會得到真實的IP地址
7.SSRF
如果目標存在SSRF漏洞,則可以對我們設定的伺服器發起一個請求,在伺服器上用NC監聽,伺服器接收到請求後即可輸出目標的IP地址
8.發郵件
給目標傳送郵件,如果目標回覆郵件,是不是可以得到目標的郵件伺服器地址?
https://rhinosecuritylabs.com/cloud-security/cloudflare-bypassing-cloud-security/