• 云防护当道,如何绕过云防护来进行渗透测试


    一、前言

        本文旨在相互交流学习,建议渗透测试前得到用户许可,再进行。笔者不承担任务法律责任。

    二、背景说明

         Twitter上反gong黑客每三天一次发布一条攻陷内地某某单位的门户网站,或者内部应用系统的推文,加上6月1日我国开始施行《网络安全法》,其中第二十一条明确规定:

    国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
    
    (一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
    
    (二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
    
    (三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
    
    (四)采取数据分类、重要数据备份和加密等措施;
    
    (五)法律、行政法规规定的其他义务。
    
    
    

    这使得越来越多的单位开始重视放在互联网上的应用系统安全。

          采购传统WAF来解决是一种有效的办法,但是随着硬件设备的添加,或增加单位日常运维成本,或改变单位内部的网络结构,耗时耗力不少,费用也挺高。

          不少厂家为解决上述痛点,开始采用SaaS(Sofeware as a Service)模式的云防护的办法,0部署,0维护,毕竟云计算也是当下的一个热点(大云物移嘛)。

    三、云防护的原理

          市面上提供云防护产品的厂家很多,安恒的玄武盾(硬广告还是要植入一波)、知道创宇、上海云盾,BAT中当属阿里最早开始投入阿里云盾(为了这个云盾品牌的所有权,中间好像也有一个插曲,这里不做展开了),百度好像也是最近几年刚开始推百度云。

          简单说下云防护的工作原理:厂家基本都是将用户的域名解析指向到自己的云防护节点上,或者干脆直接采用厂家的DNS解析服务,通过自己的高防云服务器来为用户提供安全防护。云防护节点则部署在各地CDN节点上。

    四、绕过CDN节点,查看域名真实IP

          那么重点来了,如何绕过CDN节点,来查看域名真实IP呢?

          网上方法很多,freebuf上也有比较多的文章(比如 http://www.freebuf.com/articles/web/41533.html  实例绕过),笔者这边推荐一些在线检测的办法

          说在前面的话:在线工具也是通过后台服务器去爬取域名的历史信息,因而网站一上线就采用云防护,或者网站比较早,当时没有抓取到信息,那么这些工具也就无能为力了。

         1、www.netcraft.com

         这个老外的网站,在截图所示位置只需要输入你需要查找的域名,就可以列出域名的背景信息,whois信息、历史服务器IP信息,域名采用什么前端语言编写等等信息。

         当然这个网站的作用可远远不止于此,笔者也一直在学习CEH的课程(进度略慢),里面也提及了这个工具来做一些信息收集的任务。

         

          2、https://www.t00ls.net/domain.html

          国内笔者找到的在线工具是tools的域名信息查询功能。它不仅可以帮你查出主域名的一些相关信息,也可以查询出子域名的信息,毕竟用户单位不一定会将所有的子域名进行防护,同时也能查询出采用了哪家的云防护产品等信息。

          3、另外再转发一些方法:

        验证是否存在CDN最简单的办法
            通过在线的多地ping,通过每个地区ping的结果得到IP。
            看这些IP是否一致,如果都是一样的,极大可能不存在cdn,但不绝对。
            如果这些IP大多数都不太一样或者规律性很强,可以尝试查询这些IP的归属地,判断是否存在CDN。
        验证IP和域名是否真实对应最简单的办法
            修改本地hosts文件,强行将域名与IP解析对应。
            然后访问域名查看页面是否变化。
        ping
            假设如下存在cdn ----> ping www.sysorem.xyz
            可以尝试ping sysorem.xyz,很多厂商可能让www使用cdn,空域名不是有cdn缓存。
            所以直接ping sysorem.xyz可能就能得到真实IP。
        分站域名
            很多网站主站的访问量会比较大,所以往往主站都挂着cdn的。
            但是分站就不一定了,毕竟cdn要钱,而且也不便宜。
            所以可能一些分站就没有挂着cdn,所以有时候可以尝试通过查看分站IP。
            可能是同个IP或者同个站都是没准的。
        国外访问
            国内的CDN往往只会针对国内用户访问加速。
            所以国外就不一定了。因此通过国外代理访问就能查看真实IP了。
            或者通过国外的DNS解析,可能就能得到真实的IP。
        MX及邮件
            mx记录查询,一般会是C段。
            一些网提供注册服务,可能会验证邮件,还有RSS订阅邮件,忘记密码等
            可能服务器本身自带sendmail可以直接发送邮件,当然使用第三方的除外(如网易,腾讯等)
            当然这个IP也要验证是否为主站的
            web版的邮件管理,可以通过常看网页源代码看到IP

    五、绕过节点进行安全渗透测试

           在得知域名的真实IP之后,我们就可以在hosts文件中绑定域名、IP信息,就可以绕过云防护节点直接访问源了,接下来就是常规模式了。

    PS:第四章第三节,笔者转发网上其他作者,如侵犯到你著作权,请联系我删除。

  • 相关阅读:
    php之基础深入---类与对象篇
    php之cURL惯用
    php之header的不同用法
    java的图形界面初学惯用
    java 的http请求方式:HttpURLConnection和HttpClient
    数据挖掘-推荐算法入门
    性能测试平台效率优化的一次经验(python版)
    AndroidTest工程的自定义gradle task
    Robotium源码解读-native控件/webview元素的获取和操作
    工作中一些环境问题解决记录
  • 原文地址:https://www.cnblogs.com/jokermoon/p/5945393.html
Copyright © 2020-2023  润新知