Quartz 4

Cloudflare

3 min read

tags: cloudlfare reconnaissance ip

Trovare l’IP reale di un web server protetto da Cloudflare può essere complicato, ma esistono delle tecniche di OSINT (Open Source Intelligence) che possono aiutarti. Ecco come puoi procedere, tenendo conto delle precauzioni di Cloudflare:

  1. Ricerca di vecchi DNS: Servizi come SecurityTrails o ViewDNS.info possono mostrare vecchi record DNS, rivelando IP storici che potrebbero essere ancora attivi.

  2. Cercare sottodomini non protetti: Cloudflare protegge solo i domini che sono esplicitamente configurati. Se un sottodominio non è stato aggiunto a Cloudflare, può svelare l’IP reale. Strumenti come Sublist3r e Amass possono scoprire sottodomini.

  3. Scansione di server di posta: Il record MX di un dominio può indicare l’IP reale del server, se la posta elettronica è gestita nello stesso IP del sito. Puoi controllare i record MX con strumenti come nslookup o dig.

  4. Ricerca di file o host di terze parti: Se il sito ha risorse esterne non protette da Cloudflare, come vecchi host FTP o altre configurazioni, questi IP potrebbero essere pubblicamente accessibili e puntare allo stesso server del sito.

  5. Usare Shodan o Censys: Con la firma del web server o informazioni particolari, potresti trovare l’IP reale del sito. Ad esempio, filtri come ssl:"example.com" su Shodan possono rivelare server con certificati SSL che non passano attraverso Cloudflare.

Come funziona la firma del web server:

Quando un server web risponde a una richiesta HTTP o HTTPS, include informazioni nelle intestazioni o nel certificato SSL, come:

  1. Versione del software: il tipo e versione del software del server (es. Apache, Nginx, IIS).
  2. Certificati SSL: ogni certificato contiene il dominio, l’autorità emittente e spesso anche domini alternativi (SAN - Subject Alternative Names).
  3. Intestazioni HTTP: il server può includere intestazioni HTTP specifiche come Server, X-Powered-By o altre personalizzate.
  4. Risposte uniche o errori personalizzati: errori come 404 o 403 che includono pagine o messaggi personalizzati.

Esempi di ricerca con Shodan o Censys

Usando queste caratteristiche, puoi cercare un IP reale o informazioni sul server dietro Cloudflare:

  1. Ricerca del certificato SSL: puoi cercare un certificato legato al dominio originale. Su Shodan, ad esempio, puoi cercare con:

    ssl.cert.subject.cn:"example.com"

    Oppure:

    ssl:"example.com"

    Questo cerca certificati che includono “example.com” nel CN (Common Name) o nel campo SAN.

  2. Versioni software specifiche: se sai che il server utilizza una specifica versione, puoi filtrare per versione e dominio

    http.title:"Example" apache.version:2.4.41

  3. Identificatori di web server: se il server ha un’intestazione HTTP unica o un cookie specifico, puoi cercare server con quel pattern.

  4. Individuare indirizzi IP alternativi: filtri come org:"Hosting Provider" possono aiutare se conosci l’hosting originale del sito, cercando di vedere se ci sono server con configurazioni simili o certi intervalli di IP.

Questi metodi ti aiutano a scoprire l’IP reale del web server qualora le informazioni trovate puntino a una configurazione che non passa per Cloudflare.

Graph View