Что такое CloudFlare?

CloudFlare – это сервис по обслуживанию и обеспечению безопасности.

Часто различные сайты прячут за ним свой реальный IP.

http://www.securityidiots.com/post_images/cloudflare_logo1.png

Для того что бы разкрыть реальный IP будем использовать известные онлайн тулзы.

И так для примера возмем сайт c CloudFlare


PHP:
http://gre4ka.info

Для начала проверим IP:


Code:
ping gre4ka.info

Получим IP:104.28.18.120

http://s7.hostingkartinok.com/uploads/images/2015/05/3cc8ff578b84ad9430ebefc8fc6578ea.png

Пробуемм подключится по 80 порту:

Получем ошибку из которой видно что IP пренадлежит CloudFlare

http://s7.hostingkartinok.com/uploads/images/2015/05/d542ce48ede38924710e831eff4bbcf0.png

Дальше идем на сайт сервис по раскрытию IP -адресов которые прячутся за CloudFlare:


PHP:
http://www.crimeflare.com/cfs.html

И просто в поиске вбиваем наш сайт...

В итоге получаем реальный IP:


Code:
gre4ka.info 146.185.128.222

http://s7.hostingkartinok.com/uploads/images/2015/05/c9d3fff84e8559d63a329131819b79b6.png

Проверяем прямое подключение по IP на 80 порт:

Получаем сайт уже без CloudFlare.Дальше уже спокойно можно работать с софтом и проводит аудит не только веб-приложения но и целевой системы(сканить порты,сервисы и т.д...)

http://s7.hostingkartinok.com/uploads/images/2015/05/836f8525b12af39e568cd861d1da7e3a.png

Еще как вариант можно использовать утилитку DIG для того что разкрыть возможные dns-имена,затем пинговать их:

http://s7.hostingkartinok.com/uploads/images/2015/05/eebfd602e6e9f600ae5ac6c9bb067ad0.png

Но в нашем случае все записи не принадлежат реальному IP (

Еще один способ разкрытия реального IP сайта - это через почту.Это может быть регистрация на сайте или любой другой способ вынудить отправить вам письмо с веб сервера.И в теле письма посмотреть IP адрес.

Mister_Bert0ni said:
↑ (https://antichat.live/posts/3853290/)
Что такое CloudFlare?
CloudFlare – это сервис по обслуживанию и обеспечению безопасности.
Часто различные сайты прячут за ним свой реальный IP.
http://www.securityidiots.com/post_images/cloudflare_logo1.png
Для того что бы разкрыть реальный IP будем использовать известные онлайн тулзы.
И так для примера возмем сайт c CloudFlare

PHP:
http://gre4ka.info

Для начала проверим IP:

Code:
ping gre4ka.info

Получим IP:104.28.18.120
http://s7.hostingkartinok.com/uploads/images/2015/05/3cc8ff578b84ad9430ebefc8fc6578ea.png
Пробуемм подключится по 80 порту:
Получем ошибку из которой видно что IP пренадлежит CloudFlare
http://s7.hostingkartinok.com/uploads/images/2015/05/d542ce48ede38924710e831eff4bbcf0.png
Дальше идем на сайт сервис по раскрытию IP -адресов которые прячутся за CloudFlare:

PHP:
http://www.crimeflare.com/cfs.html

И просто в поиске вбиваем наш сайт...
В итоге получаем реальный IP:

Code:
gre4ka.info 146.185.128.222

http://s7.hostingkartinok.com/uploads/images/2015/05/c9d3fff84e8559d63a329131819b79b6.png
Проверяем прямое подключение по IP на 80 порт:
Получаем сайт уже без CloudFlare.Дальше уже спокойно можно работать с софтом и проводит аудит не только веб-приложения но и целевой системы(сканить порты,сервисы и т.д...)
http://s7.hostingkartinok.com/uploads/images/2015/05/836f8525b12af39e568cd861d1da7e3a.png
Еще как вариант можно использовать утилитку DIG для того что разкрыть возможные dns-имена,затем пинговать их:
http://s7.hostingkartinok.com/uploads/images/2015/05/eebfd602e6e9f600ae5ac6c9bb067ad0.png
Но в нашем случае все записи не принадлежат реальному IP (
Еще один способ разкрытия реального IP сайта - это через почту.Это может быть регистрация на сайте или любой другой способ вынудить отправить вам письмо с веб сервера.И в теле письма посмотреть IP адрес.


Нашел)) спасибо! nmap можно добавить. А что еще взять если нет возможности отправить письмо(не с сервер), или же вообще отправка не привязана к реальному ипу?

Способов-то много, но не один не является идеальным.

BabaDook said:
↑ (https://antichat.live/posts/3996532/)
Способов-то много, но не один не является идеальным.


Например? Заметил, сегодня юзану по этой теме. Интересно что получится. А на другой стороне мои действия как отображаться могут, отображается?

CyberTro1n said:
↑ (https://antichat.live/posts/3996624/)
Например? Заметил, сегодня юзану по этой теме. Интересно что получится. А на другой стороне мои действия как отображаться могут, отображается?


Логи, ну я хз, шодан как вариант, придумывать надо, надо изучать тему.

BabaDook said:
↑ (https://antichat.live/posts/3996655/)
Логи, ну я хз, шодан как вариант, придумывать надо, надо изучать тему.


Логи однозначно) в системе клауда и в самой цели?

такой вопрос, а что если сервер по ip не открывается, как быть в таком случае? там наврно могут быть какие-то проверики? типа пришел не с клауд сервера а прямо....

http://dim.st/i96703.jpg

я знаю что долго в кс играл. не пойму как столько доменов на одном ипе. как дальше идти, крутить?

Как вариант ещё можно посмотреть историю изменения IP. Тот же viewdns.info может показать историю.

http://ptrarchive.com/

http://censys.io

https://myip.ms/

https://www.larger.io/

http://www.crimeflare.com/cfs.html#box

https://cl0udflare.cf/index.php

https://crt.sh/

http://searchdns.netcraft.com/

http://viewdns.info/iphistory/

https://fofa.so

https://medium.com/@denyfebriant/bypass-xss-filter-cloudflare-on-indodax-com-526fb32ffa08


Code:
Свежий bypass xss фильтра Cloudflare %22}%3C%2500svg%26%23x09%3bx%2f%2500onload%3d%26%2 30000097%26%230000108%26%230000101%26%230000114%26 %230000116%26%230000040%26%230000100%26%230000111% 26%230000099%26%230000117%26%230000109%26%23000010 1%26%230000110%26%230000116%26%230000046%26%230000 100%26%230000111%26%230000109%26%230000097%26%2300 00105%26%230000110%26%230000041%3E

https://github.com/MindPointGroup/cloudfrunt

CloudFrunt is a tool for identifying misconfigured CloudFront domains.

dnsdumper, sublist3r, cloudfail это же обратный прокси, насколько знаю обходится поиском ипа которые не за клаудом.

https://iphostinfo.com/cloudflare/

Ещё из методов: если есть аплоуд на сайте можно грузить фаил/картинку и смотреть реальный ип в логах.

Решил попрактиковатся и собрать всё в кучу:


Code:
Array
(
[host] => 100yellow.com
[class] => IN
[ttl] => 2733
[type] => HINFO
[cpu] => ANY obsoleted
[os] => See draft-ietf-dnsop-refuse-any
)

)
subdomain ips:
Array
(
[0] =>
[1] => 139.59.29.219
[2] => 97.74.135.10
[3] =>
[4] => 72.167.238.29
[5] => 97.74.135.10
[6] =>
[7] =>
[8] =>
[9] =>
[10] =>
[11] =>
[12] =>
[13] =>
[14] =>
[15] =>
[16] =>
[17] =>
[18] =>
[19] =>
[20] =>
[21] =>
[22] =>
[23] =>
[24] =>
[25] =>
[26] =>
[27] =>
[28] =>
[29] =>
[30] =>
[31] =>
[32] =>
[33] =>
[34] =>
[35] =>
[36] =>
[37] =>
[38] =>
)
shodan:
stdClass Object
(
[matches] => Array
(
)

[total] => 0
)
Cookie:
Array
(
[__cfduid] => dc2e8b1b92037edbb4c18f6ff9f2aba3c1549291585
)
time: 4.7554 sec.
Done.

shodan - мимо.

subдомены - дали реальный результат.

139.59.29.219 - редирект на www.139.59.29.219 (http://www.139.59.29.219)

Как задетектить что ип пренадлежит домену?

Сравнению контента мешает капча при клауд домене, детекчу по кукам. Кто знает вариант как обойти?

https://github.com/KyranRana/cloudflare-bypass этот обходит CF UAM page. Там 2 метода - curl и сокеты. Код на курле почему-то не захотел работать а сокеты проходят проверку.

Из методов которые я знаю:


Если на сайте есть регистрация или какая-либо возможность отправки почты то регаемся (или заставляем сайт отправить нам письмо) и смотрим айпишник сервера в заголовках письма. В 95% случаев письмо отправляется с самого сервера. Хотя некоторые сайты используют внешний smtp типа mailgun, тогда этот способ не проканает.

Если на сайте есть возможность заливки аватара по ссылке (или любая другая возможность заставить перейти сайт по ссылке) то можно заставить сайт перейти по ссылке и в логах сервера при обращении к твоей ссылке будет виден айпишник сервера.

https://antichat.com/threads/468566/

b3 said:
↑ (https://antichat.live/posts/4300576/)
https://github.com/KyranRana/cloudflare-bypass
этот обходит CF UAM page. Там 2 метода - curl и сокеты. Код на курле почему-то не захотел работать а сокеты проходят проверку.




Code:
// -- 3. Get JavaScript answer.
eval( $iuam_jschl );

Клоуд будет очень доволен.

это все еще работает?

Mister_Bert0ni said:
↑ (https://antichat.live/posts/3853290/)
Дальше идем на сайт сервис по раскрытию IP -адресов которые прячутся за CloudFlare:

PHP:
http://www.crimeflare.com/cfs.html

И просто в поиске вбиваем наш сайт...


Умер сервис? А, похоже переехал на другой домен. Киньте прямую ссыль, если есть у кого под рукой.

quite gray said:
↑ (https://antichat.live/posts/4369878/)
Умер сервис? А, похоже переехал на другой домен. Киньте ссыль, если есть у кого под рукой.


вот тебе ссылка с гугла http://www.crimeflare.org:82/cfs.html только наврядле тебе это поможет, нормальные сайты не светят свои IP, подобные сервисы подходят только для всяких домашних сайтов, и то если на них прийдет DDoS, то администратор сменит IP и уберет утечку информации

vikaig said:
↑ (https://antichat.live/posts/4369882/)
вот тебе ссылка с гугла
http://www.crimeflare.org:82/cfs.html
но только наврядле тебе это поможет, нормальные сайты не светят свои IP, подобные сервисы подходят для всяких домашних сайтов, на которые DDoS не приходил


Благодарю за инфу. Не приходил? Значит придёт :-D Буду пробовать все методы определения IP.

.SpoilerTarget" type="button">Spoiler

.SpoilerTarget" type="button">Spoiler

Да, так и есть. Ничего.

Приступаем к плану Б...

Да, так и есть. Ничего. А я то думаю, почему там Админ такой в себе уверенный.
Приступаем к плану Б...


Иногда полезно пробить А-записи поддоменов и историю whois по смене А-записи.

pas9x said:
↑ (https://antichat.live/posts/4300584/)
Если на сайте есть регистрация или какая-либо возможность отправки почты то регаемся (или заставляем сайт отправить нам письмо) и смотрим айпишник сервера в заголовках письма. В 95% случаев письмо отправляется с самого сервера. Хотя некоторые сайты используют внешний smtp типа mailgun, тогда этот способ не проканает.


А почту лучше на каком сервисе иметь? Google, Yandex или вообще без разницы. Одноразовая временная сойдёт?


pas9x said:
↑ (https://antichat.live/posts/4300584/)
Если на сайте есть возможность заливки аватара по ссылке (или любая другая возможность заставить перейти сайт по ссылке) то можно заставить сайт перейти по ссылке и в логах сервера при обращении к твоей ссылке будет виден айпишник сервера.


Не понял. В логах какого сервера? А как доступ к логам получить?

Поясните пожалуйста кто-нибудь в двух словах. Паскаль ушёл, а вопросы будут на его посты накапливаться.

P.S. А что скажут бывалые за инструмент СloudFail?

quite gray said:
↑ (https://antichat.live/posts/4369945/)
Не понял. В логах какого сервера? А как доступ к логам получить?
Поясните пожалуйста кто-нибудь в двух словах. Паскаль ушёл, а вопросы будут на его посты накапливаться.


Заливаешь на свой сервер картинку. На таргете ищешь возможность вставить урл до своей картинки - не обязательно

аватар - вставка видео, музыки, файла, всего чего угодно по ссылке. Вставляешь. Сайт пытается обратится к картинке

по твоей ссылке. В логах твоего сервера остается запись обращения к картинке с ip таргета.

Если нет сервака. Берешь бесплатный хостинг. Льешь на него index.php с таким содержимым:


Code:
$remote = $_SERVER['REMOTE_ADDR'];
$f = fopen("log.txt", "a");
fwrite($f, "$remote\n");
fclose($f);

На таргете вставляешь вместо урл аватара, картинки в сообщениях или видео, урл до своего скрипта.

Таргет пытается обратиться к твоему урл и в log.txt остается запись с ip.

Помимо $_SERVER['REMOTE_ADDR'] рекомендую обратить внимание на:

HTTP_X_FORWARDED_FOR, HTTP_CLIENT_IP

Просто для информации.

Cloudflare рекомендуют настраивать закрываемый сервер на работу только со своими серверами и дропать пакеты от других источников.

В этом случае знание ИП за клаудом ничего не даст, напрямую работать не получится.

Но далеко не все следуют этой рекомендации.

dooble said:
↑ (https://antichat.live/posts/4370087/)
В этом случае знание ИП за клаудом ничего не даст, напрямую работать не получится.


IP сайта за Cloudflare есть. При вводе в строку переходит на главную страницу. Но там ещё форум на поддомене, типа forum.*******.com

Скажите, forum.*******.com имеет тот же IP, что и *******.com или не всегда?

quite gray said:
↑ (https://antichat.live/posts/4371283/)
Скажите, forum.*******.com имеет тот же IP, что и *******.com или не всегда?


не всегда

Baskin-Robbins said:
↑ (https://antichat.live/posts/4369977/)
Заливаешь на свой сервер картинку. На таргете ищешь возможность вставить урл до своей картинки - не обязательно
аватар - вставка видео, музыки, файла, всего чего угодно по ссылке. Вставляешь. Сайт пытается обратится к картинке
по твоей ссылке. В логах твоего сервера остается запись обращения к картинке с ip таргета.
Если нет сервака. Берешь бесплатный хостинг. Льешь на него index.php с таким содержимым:

Code:
$remote = $_SERVER['REMOTE_ADDR'];
$f = fopen("log.txt", "a");
fwrite($f, "$remote\n");
fclose($f);

На таргете вставляешь вместо урл аватара, картинки в сообщениях или видео, урл до своего скрипта.
Таргет пытается обратиться к твоему урл и в log.txt остается запись с ip.
Помимо $_SERVER['REMOTE_ADDR'] рекомендую обратить внимание на:
HTTP_X_FORWARDED_FOR, HTTP_CLIENT_IP


А если нет загрузки по ссылке? Есть только выбрать со своего компа,как можно реализовать? Ссылки кстати можно размещать в поле комментариев,но этим мне кажется ничего не добьешься,или можно?

vladF said:
↑ (https://antichat.live/posts/4381012/)
как можно реализовать?


другими способами


vladF said:
↑ (https://antichat.live/posts/4381012/)
или можно?


можно попробовать

Baskin-Robbins said:
↑ (https://antichat.live/posts/4381029/)
другими способами
можно попробовать


Все понятно,исчерпывающий ответ

quite gray said:
↑ (https://antichat.live/posts/4385653/)
З.Ы. После моих тестов, при вводе прежнего IP в строку браузера уже сайт не открывается:
Spoiler
View attachment 9713 (https://antichat.live/attachments/9713/)
Но оповещения на почту приходят с форума с прежним IP. Что бы это значило? Смена IP или как так можно спрятаться?
Всегда ли, введя настоящий IP сайта в адресную строку, я на него смогу перейти?


Это значит, что администратор настроил отдачу контента только на ip сервера cloudflare.

Это и есть грамотная настройка сервера при защите через CloudFlare.

BigBear said:
↑ (https://antichat.live/posts/4386109/)
Это значит, что администратор настроил отдачу контента только на ip сервера cloudflare.
Это и есть грамотная настройка сервера при защите через CloudFlare.


Он ещё и домен сменил. Скажи, мил человек, при смене домена меняется IP cайта? А как мне теперь узнать остался прежний IP или нет?

quite gray said:
↑ (https://antichat.live/posts/4386114/)
Он ещё и домен сменил. Скажи, мил человек, при смене домена меняется IP cайта?


все зависит от действий администратора


quite gray said:
↑ (https://antichat.live/posts/4386114/)
А как мне теперь узнать остался прежний IP или нет?


если админ грамотно все сделал и разрешает конекшены только с серверов cloudflare то никак наверное никак

quite gray said:
↑ (https://antichat.live/posts/4386114/)
Пока quite gray не грянет, то Админ не перекрестится :-D
Он ещё и домен сменил. Скажи, мил человек, при смене домена меняется IP cайта? А как мне теперь узнать остался прежний IP или нет?


вы можете узнать новый домен:

1) если он не скрыл рег данные для старого и нового доменов

2) используя reverse whois по email

BigBear said:
↑ (https://antichat.live/posts/4386109/)
Это значит, что администратор настроил отдачу контента только на ip сервера cloudflare.
Это и есть грамотная настройка сервера при защите через CloudFlare.




MichelleBoxing said:
↑ (https://antichat.live/posts/4386229/)
все зависит от действий администратора
если админ грамотно все сделал и разрешает конекшены только с серверов cloudflare то никак наверное никак


Если я правильно понял, то в таком случае распределённая стресс-атака напрямую, в обход CloudFlare, на сервер через IP не пройдёт? Только через/на публичное доменное имя cайта?

quite gray said:
↑ (https://antichat.live/posts/4387386/)
Если я правильно понял, то в таком случае распределённая стресс-атака напрямую, в обход CloudFlare, на сервер через IP не пройдёт? Только через/на публичное доменное имя cайта?


Не уверен, так как (возможно) на отдачу контента настраивается только веб-службы, а остальные порты (22, 25, даже 3306) могут получать пакеты напрямую за пределом белых списков.

Это не точно, так как я не настраивал CloudFlare и не готов сказать, весь трафик настраивается или не весь.

BigBear said:
↑ (https://antichat.live/posts/4387550/)
Не уверен, так как (возможно) на отдачу контента настраивается только веб-службы, а остальные порты (22, 25, даже 3306) могут получать пакеты напрямую за пределом белых списков.
Это не точно, так как я не настраивал CloudFlare и не готов сказать, весь трафик настраивается или не весь.


Теперь уже точно. Работает. Благодарю.

а есть варианты как обойти фильтры при sql injection?

никаким способом не удалось найти ip

Хорошая статья по поиску ИП за ваф.

https://delta.navisec.io/a-pentesters-guide-part-5-unmasking-wafs-and-finding-the-source/

Ее можно брать за основу.

В целом добили тему, можно отправить на "кухню".

На данный момент сервис cloudflare скомпрометирован, данные уже продаются. Я предполагаю, чтобы узнать инфо, достаточно shodan. Остальное потеря времени, и ход по ложному пути.

Stalker_Admin said:
↑ (https://antichat.live/posts/4404595/)
На данный момент сервис cloudflare скомпрометирован, данные уже продаются.


где продаются? цена?

b3 said:
↑ (https://antichat.live/posts/4405127/)
где продаются? цена?


Кто ищет, тот всегда найдет.

https://www.securitylab.ru/news/510561.php

b3 said:
↑ (https://antichat.live/posts/4405127/)
где продаются? цена?


Если не сложно, киньте в ЛС результат поиска. Очень уж интересно стало. Буду очень рад чекнуть, и заодно подумать о покупке. Они не первые....

CyberTro1n said:
↑ (https://antichat.live/posts/4405187/)
Если не сложно, киньте в ЛС результат поиска. Очень уж интересно стало. Буду очень рад чекнуть, и заодно подумать о покупке. Они не первые....


да это новость древняя, поданая как новая. http://www.crimeflare.org:82/cfs.html Журналисты хуже червя-пи***а