Hej,
Na pewno wielu osobom zdarza się, że chcą namierzyć właściciela domeny / serwera, stojącego za routerem Cloudflare. Dzisiaj pokażę, jak naświetlić ścieżkę do prawdopodobnej lokalizacji naszego celu.
Czym jest właściwie CloudFlare ?
Jest to usługa umożliwiająca przekierowanie naszej domeny na serwery CloudFlare, które z kolei pośredniczą w wymianie całego ruchu http/https w taki sposób, że użytkownik odpytujący o treści http widzi na końcu adres IP należący do CloudFlare, a nie realny adres IP. To uniemożliwia łatwą lokalizację serwera, wykonywanie ataków DDoS itp. Przez to także nie dotrzemy do właściciela serwera po WHOIS.
Ale nie zawsze tak musi być....
Jest szereg metod na ustalenie serwera, który mamy na końcu kabla. Należą do nich między innymi: pingowanie znanych subdomen, wywołanie określonego zachowania w WebSerwisie postawionym na serwerze, tak by ujawnić realny adres IP.
No więc do dzieła...
Obrałem sobie cel, który stoi za CloudFlare. Spróbujemy pingowania, więc do dzieła.
Jak widać, udało się. Jedna z subdomen (ts) w tym przypadku jest to serwer Team Speak 3 wyjawiła nam adres serwera. Popularnymi subdomenami są: cpanel, forum, portal, mail, webmail, ssl, direct, direct-connect. Czasem zdarza się, że subdomena www. zdradza realny adres IP.
Kolejną metodą możę być narzędzie DIG, odpytujące DNSy o wszystkie wpisy:
Kolejna metoda, to sprawdzenie ścieżki certyfikatu. Certyfikaty wystawiane są dla poszczególnych serwerów-routerów CloudFlare'a, to znaczy, że ten sam certyfikat jest współdzielony przez kilka stron internetowych - możemy sprawdzić, jakich. Często bowiem zdarza się, że ktoś rejestruje kilka domen na raz i po tym możemy dotrzeć do serwera na który inne domeny, niż poszukiwana wskazują. Często jest to jedna maszyna, na którym postawiona jest również domena, której szukamy. To (i nie tylko) umozliwia nam strona http://www.crimeflare.com/cfs.html.
Ostatnią metodą jest wywołanie strony błędu (np 404) lub innej, która odpowie nam adresem IP serwera. Niektóre frameworki z defaultowym configiem (np. Kohana) podają całą tablicę $_SERVER, w której oczywiście jest pole SERVER_ADDR, zawierające IPv4 lub IPv6 realnego serwera. Do tego można oczywiście spróbować użyć narzędzi takich jak np. Netsparker.
Z reguły to, że udaje się ustalić adres IP, na którym stoi nasz "cel", jest wynikiem błędu osoby konfigurującej dany serwis internetowy. CloudFlare jest bezpiecznym narzędziem, ale wykorzystując tą infrastrukturę musimy pamiętać o wszystkim, co może nas ujawnić. A jak ktoś ma nasze IP, to na nic zda się cała ta ochrona przed atakami DDoS.
To byłoby dzisiaj na tyle :)
Na pewno wielu osobom zdarza się, że chcą namierzyć właściciela domeny / serwera, stojącego za routerem Cloudflare. Dzisiaj pokażę, jak naświetlić ścieżkę do prawdopodobnej lokalizacji naszego celu.
Czym jest właściwie CloudFlare ?
Jest to usługa umożliwiająca przekierowanie naszej domeny na serwery CloudFlare, które z kolei pośredniczą w wymianie całego ruchu http/https w taki sposób, że użytkownik odpytujący o treści http widzi na końcu adres IP należący do CloudFlare, a nie realny adres IP. To uniemożliwia łatwą lokalizację serwera, wykonywanie ataków DDoS itp. Przez to także nie dotrzemy do właściciela serwera po WHOIS.
Ale nie zawsze tak musi być....
Jest szereg metod na ustalenie serwera, który mamy na końcu kabla. Należą do nich między innymi: pingowanie znanych subdomen, wywołanie określonego zachowania w WebSerwisie postawionym na serwerze, tak by ujawnić realny adres IP.
No więc do dzieła...
Obrałem sobie cel, który stoi za CloudFlare. Spróbujemy pingowania, więc do dzieła.
Jak widać, udało się. Jedna z subdomen (ts) w tym przypadku jest to serwer Team Speak 3 wyjawiła nam adres serwera. Popularnymi subdomenami są: cpanel, forum, portal, mail, webmail, ssl, direct, direct-connect. Czasem zdarza się, że subdomena www. zdradza realny adres IP.
Kolejną metodą możę być narzędzie DIG, odpytujące DNSy o wszystkie wpisy:
Kolejna metoda, to sprawdzenie ścieżki certyfikatu. Certyfikaty wystawiane są dla poszczególnych serwerów-routerów CloudFlare'a, to znaczy, że ten sam certyfikat jest współdzielony przez kilka stron internetowych - możemy sprawdzić, jakich. Często bowiem zdarza się, że ktoś rejestruje kilka domen na raz i po tym możemy dotrzeć do serwera na który inne domeny, niż poszukiwana wskazują. Często jest to jedna maszyna, na którym postawiona jest również domena, której szukamy. To (i nie tylko) umozliwia nam strona http://www.crimeflare.com/cfs.html.
Ostatnią metodą jest wywołanie strony błędu (np 404) lub innej, która odpowie nam adresem IP serwera. Niektóre frameworki z defaultowym configiem (np. Kohana) podają całą tablicę $_SERVER, w której oczywiście jest pole SERVER_ADDR, zawierające IPv4 lub IPv6 realnego serwera. Do tego można oczywiście spróbować użyć narzędzi takich jak np. Netsparker.
Z reguły to, że udaje się ustalić adres IP, na którym stoi nasz "cel", jest wynikiem błędu osoby konfigurującej dany serwis internetowy. CloudFlare jest bezpiecznym narzędziem, ale wykorzystując tą infrastrukturę musimy pamiętać o wszystkim, co może nas ujawnić. A jak ktoś ma nasze IP, to na nic zda się cała ta ochrona przed atakami DDoS.
To byłoby dzisiaj na tyle :)
Odwalasz świetną robotę jestem ci bardzo wdzięczny za prowadzenie tego bloga. Zastanawia mnie twoja apka, którą napisałeś do zmiany mac'a. Czy mógłbyś pokazać jak takie coś sklecić? Tworze aplikacje ale nie potrawie zrobić takiej. Pomożesz?
OdpowiedzUsuńHej,
OdpowiedzUsuńTo było odpalenie sekwencji komend terminala:
su
ifconfig eth0 down
ifconfig eth0 hw mac_address
ifconfig eth0 up
Wow jeszcze nigdzie nie widziałem tak dobrze opracowanych postów. Świetny blog, na pewno będę częściej wracał tutaj. Pozdrawiam!
OdpowiedzUsuńMój Antek wiesza się codziennie
OdpowiedzUsuńChris. Świetna stronka. Skontaktuj się ze mną pod adresem kontakt @ system12 . pl
OdpowiedzUsuńMialbym moze dla Ciebie pewna robótkę ;)
Ciekawy artykuł
OdpowiedzUsuńŚwietny i bardzo wartościowy wpis. Podoba mi się.
OdpowiedzUsuń