看Twitter發現CloudFlare總裁什么的最近很高調，北京、香港的跑著參加會議、發表演說什么的，CloudFlare似乎也沒那么牛逼吧。前段就關注過比較火熱的CloudFlare如何抵御住大流量的攻擊。政治跟咱沒毛線關系，但你說你那么牛，這就有點不太合適了吧。

目前大部分的網站都基于虛擬化部署，說的高大上一點就是云技術和CDN技術。在閑暇之余也關注過這個事情，畢竟是比較先進的技術，以前傳統的入侵滲透都是基于單主機，最多就是作一下負載均衡和反向代理。所以在尋找網站的真實IP上，不用費太多的力氣，對真實主機進行信息探測和其他的操作。就不多廢話，大家都懂，說多了有裝逼之嫌。

現在很多網站都使用CloudFlare提供的服務，大家可能以往也都遇到過，如何繞過CloudFlare的防護，找到真是的網站IP，估計大家都比較蛋疼，肯定不止我一個人蛋疼。其實就前段時間CloudFlare被DDoS的事件，直接點說就是那個投票網站被DDoS，沒搞死的重點不是CloudFlare的防護牛逼，而是木有找到網站服務器的真是IP，那么多攻擊方式，那么大的流量，我想搞死一個小網站是分分鐘的事情。扯淡扯遠了，咱討論的是如何找到經過CloudFlare防護的主機真實IP。在Wooyun里面有過關于CDN找真實IP的討論，我在這里也說一下我個人的一些經驗，就拿CloudFlare的客戶做例子。

找真實IP是個體力活，需要各種耐心和運氣成分。

常規的方式一，找子站和子域名，看看有沒有子站沒有經過CDN的防護，二級，三級甚至四級域名。

二、查找看看有沒有郵件系統，一般的郵件系統很多都是在內部，沒有經過CDN的解析，這樣通過查看原始的郵件頭部，可以看到真實的IP。第三就是通過查詢域名歷史信息，一般的域名的歷史信息，還是可以查詢到真實IP的，CloudFlare有個比較弱智的硬傷，這是通過一段時間觀察分析所得出的結果，這個也可能是一個設計的缺陷,也可能是為了管理識別。大部分通過CloudFlare保護的網站都有一個direct-xxx（xxx對應網站域名）的子站，通過這個子站我們可以獲得該網站的真是IP。例如這里我隨便找個網站，我們手工測試一下：

我們不做DDOS，沒必要去較真網站的真實IP是什么，但如果滲透過程中需要從Web入手，而暫時又找不到可利用的漏洞，需要通過其他弱智的方式來進行入侵，如各種C段的滲透等，那樣真實的網站IP就顯得比較重要了。OK，先ping一下，看看, 141.101.122.201，美國。

試試剛才說的那個方法

蛋疼了，被CloudFlare隱藏的那是相當的深了，這果然是特殊照顧的客戶啊。這里就不得不祭出神站了，提到一個比較叼的網站，www.crimeflare.com，網站有個DomainSearchBox，可以對CloudFlare客戶網站進行真實IP查詢。這個估計是哪個哥們跟CloudFlare網站過不去建立的吧。 

果斷發現真實IP，147開頭，香港大學的，具體地址就不透露了，免得順豐快遞上門服務。如何驗證真實性呢，最簡單的辦法就是修改本地的Host文件，真實的IP對應與之對應的域名即可。但是驗證了一下，發現不對，這只是曾經用過的一臺服務器IP地址，應該是這鳥網站扛不住的時候CF幫忙搬家了，這里只能呵呵一下。看了下C段，全是香港大學的機器，沒啥興趣，搞來意義不大，就不浪費時間了。然后各種抓包分析，后來還是沒突破，最終拿到了個CDN的小工具，類似于核總寫的CDN終結者一樣吧（某大牛，具體名字就不方便透露了），配和工具倒騰了會，竟然還真讓我找到了一個在美國的IP地址（54.xxx.xxx.xx），查一下地址看看。

驗證后果然為真實服務器，果然是AWS地址上，也驗證了之前所有的想法，原來躲在了在亞馬遜云上面，又是用的EC2產品，對ec2不太了解，注冊了個aws看了看，對于EC2這種產品沒有0Day是基本直接滲透沒希望的。

不過寫這個文章的時候手賤又看了下，發現真實的IP又變回了香港大學，具體的地址自己查都可以驗證的，不能說太多，當心順豐快遞和那啥。

好不容易挖出這個站，當然也不想輕易放過，繼續，各種掃描器一并帶出，端口、路徑、AWVS紛紛上去，果然讓我找到一個復雜一點的注入點（估計現在沒了額），就是HTTP頭部的延遲注入，抓個POST包，構造如下：

好了，那就丟SQLMap里去跑吧：

MySQL的數據庫，Web還是和數據庫分離，好吧，就不考慮導出Shell了，看看數據走人吧。一個個字母的出來，果然好慢啊。耐心等待吧，爆出版本、路徑了，繼續爆爆數據庫、數據表、列名什么的。不過這破數據就電話和身份證號有用點吧，連個名字都沒有，指定下列名什么的，就開始Dump了，一列身份證號，一列手機號，香港人和咱又扯不上什么關系，盡管社吧。

漏洞驗證完畢，其他數據就不在話下了。多的就不說了，已打包在附件中，為保護自己的水表，害怕警察蜀黍啊，所以特意加密。解壓密碼可以私聊，僅作技術交流吧，這次也算是趕上了一次潮流，分析了分析。

補充：花了一定時間，也翻遍了核總、鬼仔等大牛的博客，更是多虧算是0Day級的針對CDN的分析、抓包工具吧，所以才有這次針對CloudFlare公司的產品和客戶的一次全面分析。有人質疑CloudFlare不能代表所有CDN公司，其實我覺得這個是一通百通的道理，并且關鍵是在于積累，人家技術也確實牛逼，這點不得不承認，亞馬遜云主機EC2不誰都沒漏洞利用工具么，所以繞過不容易，搞定也不容易，貴在堅持。

延伸閱讀：

• 網站云安全服務CloudFlare融資2200萬美元
• CloudFlare SSL和Wosign沃通SSL申請開通和安裝使用
• 國外免費CDN CloudFlare申請教程