Cloudflare – это некая прокладка между посетителем и самим сайтом. Она работает в виде прокси, только в обратную сторону, тем самым давая некоторые возможности в виде кэширования страничек, защиту от ддос-атака, ботов и так далее. Также cloudflare маскирует настоящий ип-адрес сервера, на котором стоит сам сайт.
Он использует собственные сервера имен, которые необходимы для отправки ответов на DNS-запросы и преобразование имя хоста в ип-адрес. Это значит, что создатель сайта использует для своего домена NS-сервера, они в ответ на DNS-запрос отсылают его в cloudflare, при этом получив страницу сервера, где находится сайт, после чего показывает данный сайт посетителю, которые сделал на это запрос. Это значит, что после этого настоящий ип-адрес неплохо скрывается.
Если cloudflare будет правильно настроен, то истинный ип-адрес вычислить будет невозможно, ведь он никогда не раскрывается и никуда не записывается. Однако как мы знаем, людям свойственно ошибаться, это не стало исключением. Именно поэтому сегодня создают утилиты, которые пытаются найти уязвимости в опциях Cloudflare. Например, я могу рассказать о такой утилите, как CloudFail. Собственно именно об этой программе и пойдет речь в данной статье.
Что такое CloudFail и как он работает
Независимо от типа сайта он может иметь поддомен, как пример: site.org.ru. Количество таких доменов является неограниченным, а каждый такой домен может иметь собственный ип-адрес.
Это значит что для site.org записывается один ип-адрес, для site.org.ru записывается уже другой ип-адрес и так по нарастающей.
Бывают такие моменты, когда в DNS-записях первого домена написан адрес cloudflare, а это значит что DNS-записи для поддомена данного сайта ведут на другой ип-адрес, который не подключен к защите от cloudlfare.
Это значит, что настоязий ип-адрес может быть раскрыт.
Просто так мы не можем получить весь список субдоменов. А это значит все варианты нужно будет перебирать и пересматривать. Как раз таки это и реализуется в данной программе.
Често говоря, выполнение данных процессов являетя 3-ей стадией. На 1 данная программа получает список все возможных субдоменов, после чего проводит их проверку.
На 2 стадии этот инструмент обращается к CrimeFlrae, который имеет у себя в распоряжении огромную базу ип-адресов использующихся для сайтов и находящихся под защитой cloudflare. Если сайт знает какой-то из этих ип-адресов, то он сразу же будет показан.
Теперь уже на 3 стадии будет выполнен брут субдоменов по словарю.
После проделывания данных пунктов, найти ип-адрес, который не будет защищен cloudflare, становиться не проблемой.
Как установить CloudFail
Чтобы установит данную программу, вы должны иметь любую Unix-подобную операционную систему, после чего в ней ввести данную команду:
sudo apt update
sudo apt install python3-pip git tor
git clone https://github.com/m0rtem/CloudFail
cd CloudFail/
sudo pip3 install -r requirements.txt
Чтобы проверить работоспособность программы прописываем:
python3 cloudfail.py -h
Также перед тем как запустит программу в первый раз, а также примерно каждый месяц, стоит проверять ее на наличие обновление, делается это с помощью данной команды:
sudo python3 cloudfail.py –u
После его скачивания будет произведено обновление всех ип-адресов cloudflare, а также БД для CrimeFlare.
Если вы хотите использовать программу через луковую сеть, то вам будет нужно запустить службу Tor:
sudo systemctl start tor
Если же вы не собираетесь использовать данную сеть, то данный шаг можно смело пропускать.
Строчка is part of the Cloudlflare network! Означает, что данный сайт находится под защитой cloudflare. Если бы защиты не было бы, то сканирование сразу же остановилось, ведь в случае отсутствия защиты, данный скан является абсолютно бессмысленным.
Строчка Testing for misconfigured DNS using dnsdumpster… означает, что первый этап получения известных субдоменов начался.
Как вы могли заметить, в данных результат среди DNS-записей мы можем заметить MX-записи, которые ведут нас на сервисы электронной почты. Посмотрите внимательнее, в данном случае эти записи ведут нас не на субдомены, а на хосты Гугла. Об этом также свидетельствуют ип-адреса. Данные хосты не находятся под защитой, однако для нахождения настоящего ип-адреса они не подходят. Единственное что мы можем вытянуть от сюда это то, что данный сайт использует электронную почту от Гугл.
Строчка Scanning crimeflare databse… означает, что этап поиска сайтов в базе данных начался.
Строчка Did not find anything означает, что в базе данных ничего не нашлось
Строчка Scannig 2897 subdomains (subdomains.txt), please wait.. означает, что этап перебора всех возможных субдоменов по словарю был начат.
Красная строка говорит нам о найденных субдоменах, однако их ип-адрес защищен, а это значит, что они нам не нужны.
Зеленая же строка говорит о том, что найденные субдомены не находятся под защитой, а значит их можно использовать для обнаружения настоящего ип-адреса.
Как пример из данных скринов я могу указать mail.anti-malware.ru, но к сожалению, данный ип-адрес опять принадлежит Гугл.
Однако мы нашли то, что искали, это строка test.anti-malware.ru – ип-адрес VPS сервера.
Следующее сканирование, сайт – searchengines.guru
Вот результаты сканирования:
Из них мы можем понять, что первый и третий этап не показали нам никаких результатов. Зато в базе данных мы сразу нашли настоящий ип-адрес.
Теперь сканируем searchengines.ru
В первом этапе мы можем увидеть только почтовые сервисы Google. В базе данных информации по сайту нет ничего. Зато на третьем этапе мы нашли много интересной информации:
[09:19:32] [FOUND:SUBDOMAIN] cdn.searchengines.ru IP: 54.192.98.230 HTTP: 403
[09:20:51][FOUND:SUBDOMAIN] link.searchengines.ru IP: 90.156.201.86 HTTP: 200
[09:21:06] [FOUND:SUBDOMAIN] mail.searchengines.ru IP: 64.233.164.121 HTTP: 200
Mail.searchengines ведет на ип-адрес электронной почты
Cdn.searchengines.ru – находится под защитой, значит он нам не подойдет
Однако, link.searchengines.ru имеет ип-адрес сторонненго сервера. Открыв данну страницу мы увидим богом забытый онлайн-сервис. Это и может являться ип-адресом данного сайта. Однако в любом случае, данной субдомен связан с искомым сайтом.
Ип-адрес сразу же был найден в базе данных, однако такой же ип имеют и субдомены, это может быть особенностью DNS.
В этих случаях сервисы от Гугл не используется, однако используется другой сервис – protonmail.
Данный домен имеет в себе неплохие MX-записи, как вы могли заметить.
Данный ип-адрес может быть не только искомым ип-адресом сайта, но еще и быть источником полезных данных о провайдере, который предоставляет услуги интернета.
А с помощью whois мы можем узнать его адрес и номер телефона.
Также зеленый субдомен является очень интересным. Ведь в нем есть информации о ином возможном ип-адресе сайта. Однако не стоит сомневаться, данный ип-адрес также связан с создателем сайта.