Что такое CloudFlare?

CloudFlare – это сервис по обслуживанию и обеспечению безопасности.

Часто различные сайты прячут за ним свой реальный IP.

http://www.securityidiots.com/post_i...lare_logo1.png

Для того что бы разкрыть реальный IP будем использовать известные онлайн тулзы.

И так для примера возмем сайт c CloudFlare

Для начала проверим IP:

Получим IP:104.28.18.120

http://s7.hostingkartinok.com/upload...c8fc6578ea.png

Пробуемм подключится по 80 порту:

Получем ошибку из которой видно что IP пренадлежит CloudFlare

http://s7.hostingkartinok.com/upload...1eff4bbcf0.png

Дальше идем на сайт сервис по раскрытию IP -адресов которые прячутся за CloudFlare:

И просто в поиске вбиваем наш сайт...

В итоге получаем реальный IP:

http://s7.hostingkartinok.com/upload...31819b79b6.png

Проверяем прямое подключение по IP на 80 порт:

Получаем сайт уже без CloudFlare.Дальше уже спокойно можно работать с софтом и проводит аудит не только веб-приложения но и целевой системы(сканить порты,сервисы и т.д...)

http://s7.hostingkartinok.com/upload...61d1da7e3a.png

Еще как вариант можно использовать утилитку DIG для того что разкрыть возможные dns-имена,затем пинговать их:

http://s7.hostingkartinok.com/upload...c9bb067ad0.png

Но в нашем случае все записи не принадлежат реальному IP (

Еще один способ разкрытия реального IP сайта - это через почту.Это может быть регистрация на сайте или любой другой способ вынудить отправить вам письмо с веб сервера.И в теле письма посмотреть IP адрес.

Нашел)) спасибо! nmap можно добавить. А что еще взять если нет возможности отправить письмо(не с сервер), или же вообще отправка не привязана к реальному ипу?

Способов-то много, но не один не является идеальным.

Например? Заметил, сегодня юзану по этой теме. Интересно что получится. А на другой стороне мои действия как отображаться могут, отображается?

Логи, ну я хз, шодан как вариант, придумывать надо, надо изучать тему.

Логи однозначно) в системе клауда и в самой цели?

такой вопрос, а что если сервер по ip не открывается, как быть в таком случае? там наврно могут быть какие-то проверики? типа пришел не с клауд сервера а прямо....

http://dim.st/i96703.jpg

я знаю что долго в кс играл. не пойму как столько доменов на одном ипе. как дальше идти, крутить?

Как вариант ещё можно посмотреть историю изменения IP. Тот же viewdns.info может показать историю.

http://ptrarchive.com/

http://censys.io

https://myip.ms/

https://www.larger.io/

http://www.crimeflare.com/cfs.html#box

https://cl0udflare.cf/index.php

https://crt.sh/

http://searchdns.netcraft.com/

http://viewdns.info/iphistory/

https://fofa.so

https://medium.com/@denyfebriant/byp...m-526fb32ffa08

https://github.com/MindPointGroup/cloudfrunt

CloudFrunt is a tool for identifying misconfigured CloudFront domains.

dnsdumper, sublist3r, cloudfail это же обратный прокси, насколько знаю обходится поиском ипа которые не за клаудом.

Ещё из методов: если есть аплоуд на сайте можно грузить фаил/картинку и смотреть реальный ип в логах.

Решил попрактиковатся и собрать всё в кучу:

shodan - мимо.

subдомены - дали реальный результат.

139.59.29.219 - редирект на www.139.59.29.219

Как задетектить что ип пренадлежит домену?

Сравнению контента мешает капча при клауд домене, детекчу по кукам. Кто знает вариант как обойти?

https://github.com/KyranRana/cloudflare-bypass этот обходит CF UAM page. Там 2 метода - curl и сокеты. Код на курле почему-то не захотел работать а сокеты проходят проверку.

Из методов которые я знаю:

1. Если на сайте есть регистрация или какая-либо возможность отправки почты то регаемся (или заставляем сайт отправить нам письмо) и смотрим айпишник сервера в заголовках письма. В 95% случаев письмо отправляется с самого сервера. Хотя некоторые сайты используют внешний smtp типа mailgun, тогда этот способ не проканает.
   
2. Если на сайте есть возможность заливки аватара по ссылке (или любая другая возможность заставить перейти сайт по ссылке) то можно заставить сайт перейти по ссылке и в логах сервера при обращении к твоей ссылке будет виден айпишник сервера.

Клоуд будет очень доволен.

это все еще работает?

Умер сервис? А, похоже переехал на другой домен. Киньте прямую ссыль, если есть у кого под рукой.

вот тебе ссылка с гугла http://www.crimeflare.org:82/cfs.html только наврядле тебе это поможет, нормальные сайты не светят свои IP, подобные сервисы подходят только для всяких домашних сайтов, и то если на них прийдет DDoS, то администратор сменит IP и уберет утечку информации

Благодарю за инфу. Не приходил? Значит придёт :-D Буду пробовать все методы определения IP.

.SpoilerTarget" type="button">Spoiler

.SpoilerTarget" type="button">Spoiler

Да, так и есть. Ничего.

Приступаем к плану Б...

Иногда полезно пробить А-записи поддоменов и историю whois по смене А-записи.

А почту лучше на каком сервисе иметь? Google, Yandex или вообще без разницы. Одноразовая временная сойдёт?

Не понял. В логах какого сервера? А как доступ к логам получить?

Поясните пожалуйста кто-нибудь в двух словах. Паскаль ушёл, а вопросы будут на его посты накапливаться.

P.S. А что скажут бывалые за инструмент СloudFail?

Заливаешь на свой сервер картинку. На таргете ищешь возможность вставить урл до своей картинки - не обязательно

аватар - вставка видео, музыки, файла, всего чего угодно по ссылке. Вставляешь. Сайт пытается обратится к картинке

по твоей ссылке. В логах твоего сервера остается запись обращения к картинке с ip таргета.

Если нет сервака. Берешь бесплатный хостинг. Льешь на него index.php с таким содержимым:

На таргете вставляешь вместо урл аватара, картинки в сообщениях или видео, урл до своего скрипта.

Таргет пытается обратиться к твоему урл и в log.txt остается запись с ip.

Помимо $_SERVER['REMOTE_ADDR'] рекомендую обратить внимание на:

HTTP_X_FORWARDED_FOR, HTTP_CLIENT_IP

Просто для информации.

Cloudflare рекомендуют настраивать закрываемый сервер на работу только со своими серверами и дропать пакеты от других источников.

В этом случае знание ИП за клаудом ничего не даст, напрямую работать не получится.

Но далеко не все следуют этой рекомендации.

IP сайта за Cloudflare есть. При вводе в строку переходит на главную страницу. Но там ещё форум на поддомене, типа forum.*******.com

Скажите, forum.*******.com имеет тот же IP, что и *******.com или не всегда?

не всегда

А если нет загрузки по ссылке? Есть только выбрать со своего компа,как можно реализовать? Ссылки кстати можно размещать в поле комментариев,но этим мне кажется ничего не добьешься,или можно?

другими способами

можно попробовать

Все понятно,исчерпывающий ответ

Это значит, что администратор настроил отдачу контента только на ip сервера cloudflare.

Это и есть грамотная настройка сервера при защите через CloudFlare.

Он ещё и домен сменил. Скажи, мил человек, при смене домена меняется IP cайта? А как мне теперь узнать остался прежний IP или нет?

все зависит от действий администратора

если админ грамотно все сделал и разрешает конекшены только с серверов cloudflare то никак наверное никак

вы можете узнать новый домен:

1) если он не скрыл рег данные для старого и нового доменов

2) используя reverse whois по email

Если я правильно понял, то в таком случае распределённая стресс-атака напрямую, в обход CloudFlare, на сервер через IP не пройдёт? Только через/на публичное доменное имя cайта?

Не уверен, так как (возможно) на отдачу контента настраивается только веб-службы, а остальные порты (22, 25, даже 3306) могут получать пакеты напрямую за пределом белых списков.

Это не точно, так как я не настраивал CloudFlare и не готов сказать, весь трафик настраивается или не весь.

Теперь уже точно. Работает. Благодарю.

а есть варианты как обойти фильтры при sql injection?

никаким способом не удалось найти ip