Как узнать IP за cloudflare и другими waf и CND

Предварительно очень важно определять WAF / CND и про это будет отдельная статья, в этой же статье мы будем говорить не об определении WAF,а о том как найти реальный IP за CND/WAF​
поддомен bruteforce ( https://github.com/aboul3la/Sublist3r (https://translate.googleusercontent.com/translate_c?depth=1&rurl=translate.google.com&sl=en&sp=nmt4&tl=ru&u=https://github.com/aboul3la/Sublist3r&xid=17259,15700002,15700022,15700186,15700191,1570 0248&usg=ALkJrhihFPlh0qshtt1Y_jGs4w1hhD3Afw) ) и https://github.com/appsecco/bugcrowd-levelup-subdomain-enumeration (https://translate.googleusercontent.com/translate_c?depth=1&rurl=translate.google.com&sl=en&sp=nmt4&tl=ru&u=https://github.com/appsecco/bugcrowd-levelup-subdomain-enumeration&xid=17259,15700002,15700022,15700186,15700191,1570 0248&usg=ALkJrhi62lrMo5uj5NhuaWXwHRafNCZ7pw) & https://github.com/Elsfa7-110/Sfa7sub (https://translate.googleusercontent.com/translate_c?depth=1&rurl=translate.google.com&sl=en&sp=nmt4&tl=ru&u=https://github.com/Elsfa7-110/Sfa7sub&xid=17259,15700002,15700022,15700186,15700191,1570 0248&usg=ALkJrhhM2DJtmsKaLNU0RurGB5NBx9cs2g)

sslyzer (получите ssl-сертификат и информацию о других доменах и извлеките их ip по сравнению с нашим доменом для получения реального ip) https://github.com/iSECPartners/sslyze (https://translate.googleusercontent.com/translate_c?depth=1&rurl=translate.google.com&sl=en&sp=nmt4&tl=ru&u=https://github.com/iSECPartners/sslyze&xid=17259,15700002,15700022,15700186,15700191,1570 0248&usg=ALkJrhhDDE6jXPRQzrKuodv24_TOpgNYWA)

отправьте письмо на неправильный почтовый адрес и получите возможный ответ сервера:

https://github.com/mandatoryprogrammer/cloudflare_enum (https://translate.googleusercontent.com/translate_c?depth=1&rurl=translate.google.com&sl=en&sp=nmt4&tl=ru&u=https://github.com/mandatoryprogrammer/cloudflare_enum&xid=17259,15700002,15700022,15700186,15700191,1570 0248&usg=ALkJrhgC39cj4UEOe82qavYvlkL1IiXP8w) (работает нормально, извлекает csv) (логин http://www.crimeflare.info/cfnsdump.html (https://translate.googleusercontent.com/translate_c?depth=1&rurl=translate.google.com&sl=en&sp=nmt4&tl=ru&u=http://www.crimeflare.info/cfnsdump.html&xid=17259,15700002,15700022,15700186,15700191,1570 0248&usg=ALkJrhgN-o2VzlbJHc3d2vz103kHvBjTnA) , http://www.crimeflare.com/cfs.html (https://translate.googleusercontent.com/translate_c?depth=1&rurl=translate.google.com&sl=en&sp=nmt4&tl=ru&u=http://www.crimeflare.com/cfs.html&xid=17259,15700002,15700022,15700186,15700191,1570 0248&usg=ALkJrhirdmvyiWtjxwyP4S4d6lFPLQ8l1A) получить информацию об этих базах и работать с ней (используйте для разрешения реального ip)

Может быть полезно https://github.com/SageHack/cloud-buster (https://translate.googleusercontent.com/translate_c?depth=1&rurl=translate.google.com&sl=en&sp=nmt4&tl=ru&u=https://github.com/SageHack/cloud-buster&xid=17259,15700002,15700022,15700186,15700191,1570 0248&usg=ALkJrhieSFOfLHBZ-kBmIYj_iIVROWsHEg) и https://github.com/hasanemrebeyy/cloudflare-resolver (https://translate.googleusercontent.com/translate_c?depth=1&rurl=translate.google.com&sl=en&sp=nmt4&tl=ru&u=https://github.com/hasanemrebeyy/cloudflare-resolver&xid=17259,15700002,15700022,15700186,15700191,1570 0248&usg=ALkJrhh2FRoeKuRp_oICUBGGAdLbiFPp2A)

Получить историю изменения IP-адресов домена https://github.com/neocorv/rdns.py (https://translate.googleusercontent.com/translate_c?depth=1&rurl=translate.google.com&sl=en&sp=nmt4&tl=ru&u=https://github.com/neocorv/rdns.py&xid=17259,15700002,15700022,15700186,15700191,1570 0248&usg=ALkJrhik53bgrD1lrvKMmM8sMfnlr_LeHw) , распаковать и проверить

зайдите на https://webresolver.nl/tools/cloudflare (https://translate.googleusercontent.com/translate_c?depth=1&rurl=translate.google.com&sl=en&sp=nmt4&tl=ru&u=https://webresolver.nl/tools/cloudflare&xid=17259,15700002,15700022,15700186,15700191,1570 0248&usg=ALkJrhiYwP_4q3Ev64LfZN2CHv457DZM6w) этот веб-сайт и проверьте его API после интеграции, если у них есть база данных для разрешения.

https://github.com/m0rtem/CloudFail (https://translate.googleusercontent.com/translate_c?depth=1&rurl=translate.google.com&sl=en&sp=nmt4&tl=ru&u=https://github.com/m0rtem/CloudFail&xid=17259,15700002,15700022,15700186,15700191,1570 0248&usg=ALkJrhgM5zZPXaGsTBTfMqxF5bTN5GQ2mA) посмотрите здесь, чтобы увидеть, пропустили ли мы что-то (DNSDumpster.com)

Перейдите на https://www.netcraft.com/ (https://translate.googleusercontent.com/translate_c?depth=1&rurl=translate.google.com&sl=en&sp=nmt4&tl=ru&u=https://www.netcraft.com/&xid=17259,15700002,15700022,15700186,15700191,1570 0248&usg=ALkJrhjb4NsTF9p6-7RlIakgfNMAbGr97A) и просмотрите историю домена - мы можем найти ее оттуда. ( https://github.com/PaulSec/API-netcraft.com )

https://github.com/danneu/cloudflare-ip (https://translate.googleusercontent.com/translate_c?depth=1&rurl=translate.google.com&sl=en&sp=nmt4&tl=ru&u=https://github.com/danneu/cloudflare-ip&xid=17259,15700002,15700022,15700186,15700191,1570 0248&usg=ALkJrhiAh0x14HjNmyoz0F6IgiZuIBDZSQ) cloudflare range

ПРОВЕРЬТЕ DNS субдомена - это может дать нам реальные DNS и IP http://support.simpledns.com/kb/a196/how-to-delegate-a-sub-domain-to-other-dns-servers.aspx (https://translate.googleusercontent.com/translate_c?depth=1&rurl=translate.google.com&sl=en&sp=nmt4&tl=ru&u=http://support.simpledns.com/kb/a196/how-to-delegate-a-sub-domain-to-other-dns-servers.aspx&xid=17259,15700002,15700022,15700186,15700191,1570 0248&usg=ALkJrhgBB7eBFXi7RCmd2zzoEqndoLKjyQ)

https://builtwith.com/relationships/lol.com найдите другие домены, получите их IP и попробуйте этот IP на интересующем домене

https://github.com/vulnz/cloudflare/tree/master/cloudsub (https://translate.googleusercontent.com/translate_c?depth=1&rurl=translate.google.com&sl=en&sp=nmt4&tl=ru&u=https://github.com/vulnz/cloudflare/tree/master/cloudsub&xid=17259,15700002,15700022,15700186,15700191,1570 0248&usg=ALkJrhhHD51WGAzlSZ3Wz8wvLji0DmdmvA) IP-ресолвер простых поддоменов

https://github.com/pirate/sites-using-cloudflare (https://translate.googleusercontent.com/translate_c?depth=1&rurl=translate.google.com&sl=en&sp=nmt4&tl=ru&u=https://github.com/pirate/sites-using-cloudflare&xid=17259,15700002,15700022,15700186,15700191,1570 0248&usg=ALkJrhhpUX2fCQylnSdPCW0QrF8r8z8cvQ) Проверить в этом списке CloudBleed

Банальная регистрация и просмотр заголовков письма, которое прийдёт. Можно использовать сервис https://mxtoolbox.com/EmailHeaders.aspx

Просмотр исходных данных на наличие случайно вытекших IP в html тегах и JS скриптах.

Просмотр соединений ( сокетов) с серверами также могут дать искомый результат.

Банальный поиск используя различные поисковые системы.

Использование подобных сервисов для просмотра IP по домену которое могли оказаться в кеше http://www.ip-neighbors.com/host/

Использование сервисов типа cy-pr, pr-cy которые также кешируют данные у себя.

https://github.com/pirate/sites-using-cloudflare Также можно посмотреть по этой базе CloudBleed

Просканьте субдомены субдоменов (они также могут быть на разных IP)
Расшил и добавил инфу из своей репы, также есть няшный простенький ресолвер:

https://github.com/vulnz/cloudfailed

обычно ip узнается обычным перечисление поддоменов)

немного от себя добавлю ссылок:


Code:
DNS enum:

http://whois.domaintools.com/
https://toolbar.netcraft.com/site_report
https://www.robtex.com/
bing.com ip:127.0.0.1
https://github.com/guelfoweb/knock

lbd - load balancing detector 0.4 - Checks if a given domain uses load-balancing. Written by Stefan Behte (http://ge.mine.nu)
dnsmap 0.30 - DNS Network Mapper by pagvac (gnucitizen.org) searching (sub)domains using built-in wordlist
amass enum --passive -d intellexa.com

https://github.com/subfinder/subfinder
https://github.com/TheRook/subbrute
https://github.com/aboul3la/Sublist3r
https://pentester.land/cheatsheets/2018/11/14/subdomains-enumeration-cheatsheet.html

https://censys.io/domain?q=
https://securitytrails.com/domain/
https://viewdns.info
http://www.crimeflare.org:82
https://dnsdumpster.com/

FrauMardzh said:
↑ (https://antichat.live/posts/4308728/)
обычно ip узнается обычным перечисление поддоменов)


nmap --script dns-brute --script-args dns-brute.domain=DOMAIN.COM,dns-brute.threads=100,dns-brute.hostlist=/FULL_PATH/BIG_DIC_LIST.txt -n -p 80,443

https://github.com/projectdiscovery/subfinder

2 версия вышла. Не забудьте файл конфига настроить верно и подключить censys и shodan -выдача в почти 2 раза повышается!

PapaRed said:
↑ (https://antichat.live/posts/4282718/)
Предварительно очень важно определять WAF / CND и про это будет отдельная статья


https://github.com/EnableSecurity/wafw00f

Иногда может стрельнуть поиск по MurmurHash-у favicon-а:

https://isc.sans.edu/diary/Hunting+phishing+websites+with+favicon+hashes/27326

Странно что отсутствует в упоминаниях..

Даже не перед носом, а в в самом же cf

Регаем (free) акк, переходим на добавление домена, вбиваем хост уже сидящий на фларе.

Видим интересности после сбора dns. (dns по идеи скан не должен быть отличителен в результате от запущенного подобного вне cf, но однозначно cf подтягивает часть инфы и от себя).

p.s. была мысль что при регистрации аккаунта крепятся пара cf ns'ок, и в случае совпадения пары ns при добавлении домена оставили бы - не баг а фичу, было бы море domain takeover. (if ns1+ns2 = active now==set any else nsX-nsX2)

Но CF же не похожи на глупцов верно? мб есть смысл оглянуться вокруг, уверен такие найдутся...