9、信息打点——CDN绕过篇&漏洞回链&接口探针&全网扫描&反向邮件

前置知识

传统网站访问：用户访问域名——》解析服务器IP——》访问目标主机
普通CDN：用户访问域名——》CDN节点——》真实服务器IP——》访问目标主机
带WAF的CDN：用户访问域名——》CDN节点（带WAF）——》真实服务器IP——》访问目标主机

访问有CDN服务的主机时，如果不进行绕过，你往往直接打交道的是CDN节点，而不是真实的目标主机。

CDN配置

• 域名
    就是你要加速的域名。

• 业务类型
    图片？文件？节点根据你的业务类型缓存相应的信息。

• 加速区域
    就是说处于某一区域的用户访问网站才会进行CDN加速，其他区域访问则是正常解析到目标IP。

判断CDN

  超级ping，主要是从全国各地访问目标网站。ping

CDN绕过

• phpinfo泄露
    在域名后面直接加/phpinfo.php，如果存在该php文件，它会显示服务器的一些配置信息，包括IP地址。需要注意的是，phpinfo.php中的IP地址是主机本地的IP地址，也就是说可能是内网IP，也可能是外网IP，也不排除目标主机有多个网卡。

• 利用漏洞绕过CDN（例如：SSRF漏洞）
    SSRF漏洞的作用是能够远程访问特定IP。可以在本机上开启HTTP服务，在目标网站上访问本机，就可以知道目标主机的真实IP。

• 子域名绕过（基于CDN配置时的域名）
    在超级ping网站，多地pingwww.xxx.xxx与多地pingxxx.xxx可能是不一样的。注意：使用子域名来查找真实IP，需要建立在子域名和主站在同一台主机上，也就是同一个IP。

• 国外请求（基于CDN配置时的加速区域）
    ipip，用冷门国家访问目标域名。

• Mx记录&邮件绕过
    很多站点都有发送邮件的功能，一般的邮件系统都是在内部，没有经过CDN加速，可以在邮件源码中发现服务器的真实IP。

• 全网扫描FuckCDN

• 历史DNS记录

• 网络空间搜索引擎（基于CDN配置时的业务范围）

获取IP的接口：get-site-ip，结果准不准确就不知道了。

如果接口查出来的IP和自己查的IP不一样，可以对比网站的备案信息。

绕过CDN，找到IP之后，HOSTs绑定IP指向访问。这样做是为了以后在本地进行端口扫描什么的，就直接对目标主机进行端口扫描，而不是对CDN节点。

HOSTs文件绑定了目标IP，访问不了网站，说明找的IP找错了；能访问网站，不一定是真实IP，这种方式不能判断真实IP。