Quartz 4

Trovare l'IP giusto

5 min read

tags: ip trovaip reconnaissance

Come penetration tester, è fondamentale assicurarti di attaccare l’obiettivo giusto, senza deviare dallo scopo del lavoro o compromettere sistemi non autorizzati. In molte situazioni, l’IP che ottieni tramite una risoluzione DNS può essere quello di un intermediario, come un CDN, un proxy o un load balancer, e non quello del vero server web. Se il tuo obiettivo è specificamente il server web backend, devi essere in grado di distinguere questi sistemi e, in alcuni casi, tentare di trovare l’IP reale del server.

Metodi per eludere o aggirare questi sistemi e trovare l’IP corretto:

1. Riconoscere l’uso di un CDN o Reverse Proxy:

  • In molti casi, quando un dominio utilizza un CDN (come Cloudflare) o un reverse proxy, l’indirizzo IP che ottieni appartiene a questi intermediari e non al server web backend.
  • Come verificarlo:

    • Usa strumenti come whois o ipinfo per vedere a chi appartiene l’IP che hai ottenuto. Se vedi che l’IP appartiene a un servizio noto di CDN (ad esempio Cloudflare o Akamai), sai che c’è un intermediario.

    • Esempio:

      whois 104.26.14.11

#### 2. **Ricerca nei record DNS per bypassare un CDN**:

- **Host storici**: Usa strumenti come **SecurityTrails**, **Censys**, o **Shodan** per cercare informazioni **storiche** sugli indirizzi IP associati a un dominio. A volte, prima di implementare un CDN o un reverse proxy, i domini erano associati a un indirizzo IP pubblico. Se riesci a trovare vecchi record A, potresti individuare l'IP reale del server web.
- **Strumenti utili**:
    - **SecurityTrails**: Ti permette di cercare i DNS storici di un dominio.
    - **Shodan**: È un motore di ricerca per dispositivi connessi a Internet e può mostrarti IP storici o correlati.

Esempio su **SecurityTrails**:

- Vai su [SecurityTrails](https://securitytrails.com), inserisci il dominio (ad es. `certifiedhacker.com`) e cerca tra i record DNS storici per vedere IP precedenti che potrebbero corrispondere al vero server web.

#### 3. **Enumerazione DNS inversa (Reverse DNS Lookup)**:

- Un'idea è fare un **reverse DNS lookup** sugli IP che ottieni per vedere se puntano a un nome di dominio interno o diverso, che potrebbe rivelare informazioni su altre parti della rete.
- Comando:
    
    
    ```
```bash
    nslookup 162.241.216.11

Se il reverse DNS rivela un dominio più “interno” o diverso da quello pubblico, potresti cercare ulteriori informazioni su quel dominio, che potrebbe essere l’IP diretto del server web.

4. Subdomain Enumeration (Enumerazione di sottodomini):

  • A volte, un dominio può avere sottodomini non protetti o non filtrati da CDN o reverse proxy. Questi sottodomini potrebbero essere configurati per accedere direttamente ai server senza passare attraverso il CDN.

  • Usa strumenti come Sublist3r, Amass, o DNSDumpster per cercare sottodomini.

  • Esempio con Sublist3r:

    bash

    Copy code

    sublist3r -d certifiedhacker.com

Se trovi un sottodominio come dev.certifiedhacker.com, potresti scoprire che punta direttamente al server backend, bypassando il CDN.

5. Zone Transfer:

  • I server DNS autorevoli potrebbero permettere la tecnica del DNS zone transfer (anche se è raro). Questa tecnica ti consente di ottenere tutti i record DNS associati a un dominio, inclusi quelli che puntano ai server reali. Se il server DNS è mal configurato, puoi richiedere il trasferimento di zona.

  • Comando:

    bash

    Copy code

    dig axfr @ns1.bluehost.com certifiedhacker.com

Questo comando cerca di eseguire un trasferimento di zona (se consentito) dal server DNS autorevole per il dominio. Potresti ottenere informazioni aggiuntive, inclusi gli indirizzi IP reali dei server.

6. OSINT (Open Source Intelligence):

  • Usa strumenti di intelligence open source per raccogliere informazioni sul dominio. Siti come Shodan, Censys, e Netcraft possono rivelare l’IP reale del server backend o informazioni sui servizi esposti.
  • Shodan ti permette di cercare dispositivi esposti pubblicamente, e potresti trovare il vero server se ha servizi esposti che bypassano il CDN.

7. Leaking Headers (Intestazioni trapelate):

  • A volte, durante una richiesta HTTP, puoi cercare nelle intestazioni di risposta informazioni che rivelano dettagli sul backend. Ad esempio, alcune intestazioni HTTP possono includere informazioni sul vero server.

  • Usa strumenti come curl o Burp Suite per ispezionare le intestazioni HTTP:

    bash

    Copy code

    curl -I http://www.certifiedhacker.com

Cerca campi come Server, X-Forwarded-For, o Via, che potrebbero indicare l’IP o il nome del server backend.

8. Sfruttare errori di configurazione (Misconfiguration):

  • Alcuni domini potrebbero non configurare correttamente il reverse proxy o il load balancer. In alcuni casi, l’accesso diretto all’IP del vero server può essere esposto accidentalmente. Per esempio, disabilitando temporaneamente il CDN o configurando male il proxy.
  • Scansiona il dominio per individuare eventuali errori di configurazione che potrebbero rivelare IP nascosti.

Attenzione ai limiti legali ed etici:

Ricorda che, come penetration tester, il tuo lavoro deve sempre rientrare nell’ambito legale ed etico. Non puoi tentare di eludere un CDN o un proxy senza un’autorizzazione specifica, poiché potresti violare i termini di servizio del target o attaccare infrastrutture non direttamente coinvolte. È essenziale ottenere il permesso esplicito per qualsiasi attività di pentesting e mantenere il focus sull’obiettivo concordato.

Riassumendo:

  • Per trovare l’indirizzo IP reale del server web dietro un CDN o un proxy, puoi usare tecniche come la ricerca DNS storica, la enumerazione di sottodomini, o analizzare leaking headers.
  • Evita di attaccare IP intermedi (come CDN o proxy) senza un’autorizzazione chiara, e rimani sempre nell’ambito delle attività permesse dal contratto di pentesting.
  • Utilizza strumenti di OSINT e servizi di informazioni DNS per individuare l’IP corretto e raccogliere informazioni dettagliate.

Graph View