背景介绍

在当今数字化时代，网站和网络应用的安全性至关重要，而内容分发网络（CDN）已经成为许多企业和组织提高其在线服务性能和安全性的重要工具，对于渗透测试人员来说，CDN的引入增加了攻击目标的复杂性，使得直接对目标服务器进行渗透变得更加困难，本文将探讨如何绕过CDN进行渗透测试，旨在提供一套系统性的方法，帮助渗透测试人员有效识别并利用潜在的安全漏洞。

什么是CDN？

CDN是一种通过在全球多个地点分布的边缘服务器来缓存和传输内容的网络系统，其主要目的是减少带宽消耗、加快内容传输速度，并增强网站的可用性和可靠性，简而言之，CDN通过将内容存储在靠近用户的节点上，使得用户能够更快地访问网站数据。

CDN对渗透测试的影响

IP地址混淆

由于CDN的存在，直接通过DNS解析得到的IP地址通常是CDN节点的IP，而不是原站的真实IP地址，这给渗透测试带来了很大的困扰，因为大多数攻击都需要针对真实的服务器进行。

动态变化

很多CDN节点的IP地址是动态变化的，这意味着即使找到了某个真实IP，它在一段时间后也可能不再有效，这种动态性增加了渗透测试的难度。

多样化的防护措施

CDN通常集成了多种安全防护措施，如防火墙、DDoS防护和WAF（Web应用防火墙），这些措施能够有效地阻止或减缓攻击，增加渗透测试的难度。

绕过CDN寻找真实IP的方法

虽然CDN增加了渗透测试的复杂性，但以下是一些常见的方法和技术，可以帮助找到目标网站的真实IP地址：

DNS历史记录查询

通过查询域名的历史DNS记录，可能会找到在使用CDN之前解析的真实IP地址，可以使用微步在线（x.threatbook.cn）等平台来进行查询。

利用SSL证书

当一个域名启用了HTTPS时，可以通过查询其SSL证书信息找到真实IP地址，使用工具如“censys.io”可以查询到详细的证书信息，包括颁发给哪个IP地址。

子域名枚举

很多情况下，主域名使用了CDN，但子域名并没有，通过枚举子域名，可能会找到一个没有使用CDN的子域名，从而获取到同一台服务器的真实IP地址，工具如subDomainsBrute和Layer子域名挖掘机可以帮助进行子域名枚举。

邮件头分析

如果目标网站有发送邮件的功能（如注册、找回密码等），可以通过分析邮件头信息找到发件服务器的真实IP地址，这种方法常用于找出webmail等服务的IP地址。

国外主机Ping

CDN仅在国内部署，而国外没有，通过国外的主机进行ping操作，可能会得到真实IP地址，使用国外ping工具（如asm.ca.com/zh_cn/ping.php）可以实现这一目的。

利用VirusTotal

VirusTotal不仅可以检测文件，还可以检测域名和IP地址，通过搜索目标域名，可能会找到与该域名相关的真实IP地址。

实际案例分析

为了更好地理解如何绕过CDN进行渗透测试，以下是一个实际案例的分析：

案例背景

某日，猫哥通过某云服开设了一个带有一键化CDN反查功能的网站（http://xxxx.cc），一个月后，由于请求量巨大，他配置了高性能CDN并启用了云防护服务，笔者对此网站产生了浓厚的兴趣，决定对其进行渗透测试。

初步信息收集

通过超级Ping和nslookup命令确认目标网站是否使用了CDN，结果显示，不同地区Ping的IP地址不同，并且nslookup返回了多个IP地址，确认目标网站使用了CDN。

查找真实IP

1. DNS历史记录查询

使用微步在线查询目标域名的历史DNS记录，发现几个月前该域名解析到一个不同的IP地址，通过进一步查询，确认该IP地址为目标网站的真实IP。

2. SSL证书查询

使用censys.io查询目标域名的SSL证书信息，发现证书颁发给了同一个IP地址，进一步确认该IP地址的真实性。

3. 子域名枚举

使用Layer子域名挖掘机和subDomainsBrute工具对目标域名进行子域名枚举，找到一个测试子域名（test.xxxx.cc）没有使用CDN，解析的IP地址与之前找到的真实IP一致。

4. 邮件头分析

尝试使用目标网站的找回密码功能，查看收到的邮件头信息，发现发件服务器IP地址与之前找到的真实IP一致。

渗透测试

确认真实IP后，使用nmap进行端口扫描，发现80和443端口开放，接着使用sqlmap进行SQL注入测试，成功获取到管理员后台的登录权限，通过进一步的横向渗透，成功控制整个服务器。

总结与建议

绕过CDN进行渗透测试需要综合运用多种方法和工具，以找到目标的真实IP地址，以下是一些建议，有助于提高渗透测试的成功率：

多源信息收集：综合利用DNS历史记录、SSL证书、子域名枚举和邮件头分析等多种方法，提高找到真实IP的几率。

工具使用：熟练掌握各类渗透测试工具，如nmap、sqlmap、Layer子域名挖掘机等，提高测试效率。

持续跟踪：由于CDN节点和IP地址可能会动态变化，持续跟踪和更新信息是必要的。

合法授权：所有渗透测试活动应在获得合法授权的前提下进行，确保遵守法律法规和道德规范。

通过系统的学习和实践，渗透测试人员可以有效绕过CDN，对目标进行深入的安全评估，从而提高网络和应用的安全性。