有CDN的情况下，查找服务器的真实ip

最近做项目遇到很多网站使用了cdn，导致扫目录等操作很难进行。
于是学习了一下绕过cdn的一下方法，记录一下。

大致分为下面几种方法：

1.查找子域名

实际上这个方法不一定有用因为很多子域名并不是和WWW是一个ip，但这也是渗透测试信息收集的必要部分所以讲一下。

搜集子域名的方法有很多种，SSL证书，爆破，DNS域传送漏洞，搜索引擎，网络空间引擎，github等等

我主要使用两款工具

OneForAll

https://github.com/shmilylty/OneForAll

FuzzDomain

https://github.com/Chora10/FuzzDomain

2.查找域名历史解析记录

这种方法非常简单，但却是比较有效的一种方法，你可以查找历史解析的ip也许这是他没上cdn之前的真实ip

可以使用下列网站

https://viewdns.info/

https://x.threatbook.cn/

https://www.virustotal.com/

http://www.ip138.com/

找一个ip打开，但是有些时候用ip访问会出现默认索引页或404、403

那么，在这种情况下，可以尝试修改hosts使用ip绑定该域名进行访问.

或者通过下面的方式验证

curl -H "Host: www.xxxx.com" https://xxx.218.138.xxx -k

3.SSL证书探测

使用这个网站

https://censys.io/ipv4?q=tool.chinaz.com

使用下面的jQuery代码从页面中快速获取IP

$('span.ip a').each(function(n,e){console.log($(e).prop("href").split("v4/")[1])})

4.内部邮箱源

如果目标系统有发件功能，通常在注册用户/找回密码等地方，总之就是让对方服务器给我们发一封邮件

通过查看发件人ip找到网站真实ip，以qq邮箱为例

5.多地区、偏远地区ping

站长之家网站测速

http://tool.chinaz.com/speedtest.aspx?host=tool.chinaz.com

6.暴力匹配

扫描全网进行暴力匹配 ，使用 masscan 扫描 HTTP banner，然后匹配到目标域名的相同 banner

7.其他方法

phpinfo泄露

js泄露

ssrf