1
2
3

1.传统访问: 用户访问域名-->解析服务器ip-->访问目标主机
2.普通CDN: 用户访问域名-->CDN节点-->真实服务器IP-->访问目标主机
3.带WAF的CDN: 用户访问域名-->CDN节点(WAF)-->真实服务器IP-->访问目标主机

CDN的原理

1. 静态资源缓存
   CDN会将图片、CSS/JS文件等静态资源缓存到边缘节点，用户请求这些资源时直接由CDN响应，不会触达源服务器。
2. 动态请求回源
   对于未缓存的动态内容（如API接口、表单提交），CDN会将请求转发到源服务器处理，再返回给用户。

安全测试数据流向

1. 静态测试（如文件包含、目录遍历）

• 场景：测试CDN缓存的静态资源是否存在漏洞。
• 数据流向：
  测试工具 → CDN边缘节点 → （若缓存）直接响应/（若未缓存）CDN回源 → 源服务器
• 结果：
  • 若漏洞存在于静态资源（如未授权访问的JS文件），请求可能被CDN直接响应，不触达源服务器。
  • 若CDN配置了WAF，可能拦截恶意请求。

2. 动态测试（如SQL注入、XSS）

• 场景：测试Web应用逻辑漏洞。
• 数据流向：
  测试工具 → CDN边缘节点 → CDN回源 → 源服务器
• 结果：
  • 请求通常需经过CDN到达源服务器，真实服务器会处理测试数据。
  • 若CDN配置了WAF，可能拦截攻击向量（如' OR 1=1 --）。

3. 端口扫描/网络层测试

• 场景：使用Nmap扫描开放端口。
• 数据流向：
  测试工具 → CDN节点IP（非源服务器真实IP）
• 结果：
  • 扫描结果反映的是CDN节点的端口状态，无法直接探测源服务器。
  • 需通过子域名枚举、历史DNS记录等手段获取真实IP后再扫描。

CDN配置

1
2
3
4
5
6
7
8
9
10

配置1: 加速域名--需要启用加速的域名
子域名获取真实IP
如果对方配置的时候,只配置了www.xxx.com进行加速,那么就会出现,我去访问子域名就是真实ip地址
解决方式:将地址配置成: *.xxx.com 这样的泛解析

配置2: 加速区域---需要启用加速的地区
分别有:中国,内地,全球
所以绕过的方式,就是使用超级ping这样的工具,对他进行区域之外的访问,这样就可以获取到真实ip地址了

配合3: 加速类型--需要启用的加速资源

只配置主域名导致的配置不当

上图就是cdn加速之后的结果,就是会选择最近的一个节点给你提供服务.

下图就是配置不当,导致的,只配置了主域名进行CDN解析.

主动漏洞和遗留文件导致CDN绕过

SSRF漏洞: 就是当目标主机存在这个漏洞的时候, 你可以通过此漏洞让其主动访问你,从而获取目标的真实ip

遗留文件: 例子:phpinfo,里面会保存有本地ip地址,这个ip地址有几率是真实ip,有时候是内网ip,那么大概率是一台云主机, 我的博客就是腾讯云的主机,然后如果查看本地ip地址的话,就会是一个内网的ip地址.但是有的云平台查看本地ip的时候不会是内网ip,比如apache云.

通过邮件系统绕过CDN

同样是利用了服务主动联系你发包的原理

部署假设的邮件服务器,如果向外部用户发送邮件的话.

那么邮件头部的源码中会包含此邮件服务器的真实ip地址.

常见的邮件触发点:

1. RSS订阅
2. 邮箱注册,激活等
3. 邮箱找回密码处
4. 产品更新的邮件推送
5. 某业务执行后发送的邮件通知
6. 员工邮箱, 邮件管理平台等入口处忘记密码

骚操作

你给未知邮箱发:(需要自己的邮件服务不能第三方)

通过发送邮件给目标的一个不存在的邮箱地址, 因为该用户的邮箱不存在,所以发送失败,并且还会收到一个包含发送该电子邮件给你的服务器的真实ip通知.

真实案例–获取墨者靶场的真实ip地址

让墨者给你发送一封邮件:

显示邮件原文.

然后在通过ip查询地址:

然后查看对方的备案地址 :

感觉好像不对啊……

思考: 假设墨者靶场的邮件服务器是单独的一台服务器,没有和web服务器搭建在一起,获取这个真实ip的价值是否会大大降低呢???

存在的缺陷

1

如果对方使用第三方的邮件服务(网易邮箱,腾讯邮箱等等),那么这样操作就没有用,所以在利用邮件获取真实ip的时候要观察对方的邮件域名是否是自己搭建的,还是第三方搭建的.

扫全网来获取真实ip

扫全网的流程

1. 首先判断加速厂商
2. IP库筛选地址段
3. 配置范围扫描

判读加速厂商为: 阿里云

下载下图这个软件:

由于上面搜索出来的云厂商是阿里云,所以这里就扫所有阿里云厂商的云ip(所以这里的纯真ip就是单纯的获取对应厂商的所有ip)

这里需要使用项目进行跑

1
2
3
4
5
6
7
8
9
10

全网扫描：https://github.com/Tai7sy/fuckcdn			#小迪上课用的
该项目的缺陷是基于ip进行访问的,如果对方不能使用ip进行访问的话,那么直接GG..


全网扫描：https://github.com/boy-hack/w8fuckcdn


全网扫描：https://github.com/Pluto-123/Bypass_cdn
这个项目是跟fuckcdn完全相反的,这个是基于域名进行访问的...
这个项目还有一个需要注意的点就是如果你要扫描一个目标,需要在对应的目录下面创建一个同名的文件

然后在配置网站中独有的关键字(一般推荐用网站标题title这个字段的内容),进行扫描:

ScanPort配置要测试的端口, 这里的FindUrl的参数是指你要扫描的域名,然后FindStr是要搜索的关键字,如果有多个关键字可以用逗号隔开.

绕过CDN的常用方法:

1
2
3
4
5
6
7
8
9
10
11
12

子域名，邮件系统，国外访问，证书查询，APP 抓包，网络空间 , 通过漏洞或泄露获取，扫全网，以量打量，第三方接口查询等

参考链接:
https://xie.infoq.cn/article/1b1d530f772e33b669f6cbedf



判断自己是否找到了真实ip地址(下面这几种方式都是一种判断的依据并不是绝对的):

那么只需要修改本地的hosts文件,就可以将真实ip指向目标域名,然后在对其进行访问,服务器是指向的真实ip地址,如果解析的是CDN地址,那么将不能进行正常解析,当然这种方式进行判断不绝对.

还可以通过对方的网站备案,判断其地区是否和ip地址吻合.

参考知识点

1
2
3
4
5
6
7
8
9
10
11

超级 Ping：http://www.17ce.com/
超级 Ping：https://ping.chinaz.com/
接口查询：https://get-site-ip.com/
接口查询：https://fofa.info/extensions/source
国外请求：https://tools.ipip.net/cdn.php
国外请求：https://boce.aliyun.com/detect/
IP 社区库：https://www.cz88.net/geo-public
全网扫描：https://github.com/Tai7sy/fuckcdn
全网扫描：https://github.com/boy-hack/w8fuckcdn
全网扫描：https://github.com/Pluto-123/Bypass_cdn
http://www.17ce.com/

1

https://ping.chinaz.com/

1

https://get-site-ip.com/

1

https://fofa.info/extensions/source

国内不准确,主要是因为如果查询到国内的真实ip,那么就会面临一个法律风险..

1

https://tools.ipip.net/cdn.php

1

ttps://boce.aliyun.com/detect/

1

https://www.cz88.net/geo-public