讨论如何抓取使用cdn背后网站的源ip地址

漏洞概要关注数(27) 关注此漏洞

缺陷编号：
WooYun-2014-64512

漏洞标题： 某方法可以无视CDN查找真实IP导致真实站点遭受DDOS或入侵

相关厂商：
各大云防护厂商

漏洞作者：
苦咖啡

漏洞类型： 设计缺陷/逻辑错误

危害等级： 高

自评Rank： 16

漏洞状态： 已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org

危害结果： 这个就让网站使用cdn或者dns安全防护失效了。。

漏洞详情

披露状态：

2014-06-11： 细节已通知厂商并且等待厂商处理中

2014-06-11： 厂商已经主动忽略漏洞，细节向公众公开

简要描述：

这个漏洞，=_=应该不算漏洞吧。但是影响范围极大，目前加速乐、网站卫士、百度云加速、安全宝等等CDN打得不亦乐乎~，各种高防DDOS和CC防御~，但是这个洞洞可以无视CDN防御，实现入侵和流量攻击，鄙人想了很久也没找到个解决办法~只能来提交下CDN厂商了,希望CDN厂商们注意下

详细说明：

1、首先注册目标网站、90%的网站都需要邮箱验证

2、如没有邮箱验证，选择找回密码，实现邮箱验证

3、打开邮箱，找到验证邮件，点击显示原文

4、在原文中，可以发现服务器真实IP

5、绑定host ，是否可以打开目标网站，就是真实IP

6、对真实IP进行入侵测试，DDOS流量攻击，CC等等，实现无视CDN防御

漏洞证明：

修复方案：

CDN厂商出一个类似sendcloud邮件转发，或者出个安全邮箱，不记录IP

版权声明：转载请注明来源 苦咖啡@乌云

【附录详解】简单获取CDN背后网站的真实IP

事先声明: 方法可能存在漏报(嗯, 在人品差的情况下) 
唔, 我们使用 www.wooyun.org 作为案例。 
首先从 www.wooyun.org 服务多次挂的页面可以看出,  wooyun 使用了 baidu 的 cdn 服务, 从 wooyun 的漏洞案例上也可以知道 wooyun 使用了 ucloud 的服务, 我们可以大胆假设 wooyun 服务器的 ip 在中国内. 

0x1. 获取 CN IP 
从apnic获取亚洲区域所分配到的IP, 过滤出 CN 的 IP. 

wget ftp://ftp.apnic.net/public/apnic/stats/apnic/delegated-apnic-latest[/code] 
0x2. 端口扫描 
使用 zmap 对全 CN 的 IP 的 80 端口进行扫描. 


 
嗯, 在我的 vps 上大概需要 20 min, 所以还是先出去喝杯咖啡 : ) 

0x3. 获取 banner 
使用 zmap 的 banner-grab 对扫描出来80 端口开放的主机进行 banner 抓取 


 
嗯, 在 http-req 中的 Host 写 www.wooyun.org, 并且使用 ulimit 将最大文件描述符数修改为一个较大的值, 
直接开扫: 


 
唔, 在这里, 考虑到 www.wooyun.org 打开挺慢的, 所以将连接超时和读超时都设置为 30s, 这段时间可以出去看电影. 

0x4. 数据处理 
使用关键字 "80sec" 对获取的数据进行简单过滤 


 

这 400+ 的服务器, 一般可以分为三种: 
* baidu cdn server 
* http proxy server 
* www.wooyun.com server 

可以对这 400+ 服务器再进行一次 banner 获取, 不设置 Host, 过滤掉 baidu cdn 错误页面,  空页面, 超时等乱七八糟的页面, 然后就可以得到结果了, 我去问了一下相关负责人 www.wooyun.org 的真实 IP, 果不其然  : ) 

总耗时大概 两个多小时。 

0x5. 猜想 
一些公司的测试服务器是放在外网的, 一般只有绑定了 Host 才能进行访问, 所以... 

0x6. 感谢 
唔, 这主题是从我的 vps 蜜罐上看到有人设置一些莫名其妙的  Host 得出的猜想. thx