CDN介绍及问题剖析

文章来源｜MS08067红队手册

本文作者：Hong2x

0x00 CDN基本介绍

CDN的全称是Content Delivery Network， 即内容分发网络 。其基本思路是通过在网络各处放置节点服 务器所构成的在现有的互联网基础之上的—层智能虚拟网络 ，使内容传输的更快 、更稳定 。CDN系统能够实时地根据网络流量和各节点的连接 、负载状况以及到用户的距离和响应时间等综合信息将用户的请 求重新导向离用户最近的服务节点上。

这里以网宿CDN作为介绍：

图片

工作原理：

1. 当源站购买及使用了对应的CDN产品后， 将源站中所有的静态资源（ 包括HTML 、CSS 、JS、IMG） 等传输至对应的CDN资源服务器中；并把源站的IP与加速域名（ CDN厂商提供）进行绑定存储在系统中。

2. 当用户进行请求时， 先进行域名解析； DNS请求包被发送⾄HTTP DNS，此时解析的域名应为CDN 加速域名，则HTTP请求会被发送到图示的调度中心。

3. 当调度中心接收到请求后， 根据用户的请求数据包数据， 智能分析与用户传输数据最快的CDN节点， 并把请求包转发至CDN节点中。

4. 当CDN节点收到请求包后， 根据资源服务器中已有的静态资源， 响应页面； 若有动态资源时 ，则通过回源节点与源站通信。

功能作用：

针对门户网站 、电商 、游戏 、资讯 、UGC社区等业务场景， 提供静态内容（ 如网页 、图片 、小文件） 的加速分发能力 ， 提升网页用户的访问体验。

● 静态网页资源加速分发,如 ：html 、css 、js 、img等。

● 将网页资源更新缓存到全网, 减轻源站访问并发压力 。

● 压缩优化网页大图, 完成秒级加载，进—步缩短页面响应时间。

问题剖析：

当该站点存在CDN网络加速的网络环境下， 我们没有办法成功的访问到源站；那么当我们实施攻击时， 这个流量往往只是走到了CDN节点中， 这就有可能存在—些问题：

1. 当存在文件上传漏洞时， 存放的文件位于CDN节点的资源服务器中， 还是位于源站（会有很多小伙伴， 打了很久最后传了个WebShell；在WebShell里面最后发现是个CDN节点）

2. 如果CDN节点或者CDN调度中心有对部分攻击流量进行过滤 、防护， 也就是存在云Waf的情况；那 么我们如何继续开展攻击呢？

所以， 如果我们能够绕过CDN寻找到网站的真实IP，通过IP 、端口  （ 形如： http://x.x.x.x:8080 

图片

） 直接连接到源站， 问题就迎刃而解了~（ 当然了，有CDN的情况下才 会需要寻找真实IP；所以，通常情况下，我们需要先判断是否存在CDN）

0x01 判断是否存在CDN

核心思路：多点Ping；根据原理可知 ，若使用国内不同地区的主机进行访问操作， 时间最短的CDN节点 理应不同 。（ 福建的A同学应该访问到福建的CDN节点， 北京的B同学应该访问到北京的CDN节点）

方法一：ping/nslookup

查看不同时段不同地域下ping或者nslookup的结果， IP不一样 ，则说明可能存在CDN 。（ 可以使⽤本机和个人云服务器进行比较）

图片

方法二： 在线平台

Ping检测-站长工具：http：//ping.chinaz.com/
17CE：https://www.17ce.com/
IPIP：https://tools.ipip.net/newping.php
ping.cn：https://www.ping.cn/ping
Cdnplanet https://www.cdnplanet.com/ 
国内在线CDN云观测：http://cdn.chinaz.com
国外在线 CDN planet： https://www.cdnplanet.com
脚本探测 xcdn：https://github.com/3xp10it/xcdn

0x02 绕过CDN找真实IP

网站根域或者子域找真实IP

—般情况下， CDN服务器是按流量收费的， 管理员可能给—些主要业务的网站部署CDN， 根域或者子域业务可能没有部署CDN， 这种情况下可以收集其子域名来尝试获取真实IP地址。

图片

Email服务器找真实IP

在web服务器和email服务器在—起时可以通过email也获取其真实IP， 如果不属于同—台服务器时获取的 IP可能只是email服务器的地址 。常见发送邮件的功能有：注册用户 、找回密码等

图片

域名历史解析录找真实IP

查询目标域名历史解析录可能会找到部署CDN 前的解析记录（ 真实IP 地址） 可用以下几个网站查 。

https://domain.8aq.net
https://x.threatbook.cn
https://webiplookup.com
https://viewdns.info/iphistory
https://securitytrails.com/#search
https://toolbar.netcraft.com/site_report

图片

FOFA查询网站标题找真实IP

利用 “FOFA 网络空安全搜索引擎”搜索网站源代码中的title 标签内容即可得到真实IP地址,title= ”XXXXX”.

图片

注意：先去网站中到找到标题， 将标题复制过来在FOFA中查询。

Censys查询SSL证书找到真实IP

利用“Censys 网络空间搜索引擎”搜索网站的SSL证书及HASH，在https://crt.sh 上查找目标网站SSL证书的HASH，然后再用Censys搜索 HASH 即可得到真实IP 地址。

443.https.tls.certificate.parsed.extensions.subject_alt_name.dns_names:XXXX.com

图片