CloudFlare Bypass // Как узнать IP за CloudFlare и другими WAF и CND

[m0dHEX]

Не знаю, поможет, но должно

Не знаю на сколько эффективно, но это должно тебе помочь https://github.com/zidansec/CloudPeler.git попробуй, потом расскажешь.Это лучше чем Cloudfail. Че то он в последнее время сдавать стал!((

Спасибо, я Вам скажу как все прошло

 

[den nicolas]

Не знаю, поможет, но должно

Не знаю на сколько эффективно, но это должно тебе помочь https://github.com/zidansec/CloudPeler.git попробуй, потом расскажешь.Это лучше чем Cloudfail. Че то он в последнее время сдавать стал!((

Либо совсем не показывает айпи либо неправильный выдает. Чекал 3 таргета которые в ручную обрабатывал

 

[kirito1]

Ку. Увидел тему про обход CloudFlare, и в комментах предложили вариант с брутом поддоменов, поэтому решил сделать свой вклад и рассказать о таком инструменте, как CloudKiller. Кстати, это моя первая статья на этом форуме, но не суть. Короче, нам желательно потребуется платформа linux, у меня заработало на kali nethunter, значит заработает и на полноценном kali. Затем копируем этот репозиторий https://github.com/FDX100/cloud-killer (если вы заинтересованы в обходе cloudflare, значит имеете хотя бы базовый опыт использования linux. в файле репозитория subl.txt есть слова, которые скрипт автоматически ставит спереди домена, который вы указываете после запуска скрипта. И еще, на некотрых сайтах он находил только с включенным впн, если не будет нахдить, вы знаете что делать.

 

[selinamsk1]

Шанс того, что это сработает очень мал

 

[vxero]

Неплохо, тоже не верю, что работает.
Более менее надежный способ - это через модифицированный селениум.

 

[kirito1]

Неплохо, тоже не верю, что работает.
Более менее надежный способ - это через модифицированный селениум.

Это как? Можешь просветить?

 

[vxero]

Это как? Можешь просветить?

Это медленно но быстрее чем руками)

 

[vxero]

Этот вариант будет работать не для всех сайтов. Те кто позаботились все ИП кроме cloudflare лочат.
Конечно всегда стоит проверить остались ли ИП не за клаудфлером.

 

[sleepknot]

Ку. Увидел тему про обход CloudFlare, и в комментах предложили вариант с брутом поддоменов, поэтому решил сделать свой вклад и рассказать о таком инструменте, как CloudKiller. Кстати, это моя первая статья на этом форуме, но не суть. Короче, нам желательно потребуется платформа linux, у меня заработало на kali nethunter, значит заработает и на полноценном kali. Затем копируем этот репозиторий https://github.com/FDX100/cloud-killer (если вы заинтересованы в обходе cloudflare, значит имеете хотя бы базовый опыт использования linux. в файле репозитория subl.txt есть слова, которые скрипт автоматически ставит спереди домена, который вы указываете после запуска скрипта. И еще, на некотрых сайтах он находил только с включенным впн, если не будет нахдить, вы знаете что делать.

GitHub - FlareSolverr/FlareSolverr: Proxy server to bypass Cloudflare protection

Proxy server to bypass Cloudflare protection. Contribute to FlareSolverr/FlareSolverr development by creating an account on GitHub.

github.com

Эта хрень через Puppeteer работает, насколько знаю это как селениум
Знаю в бруте юзают его

 

[zagon]

Подскажите, есть варианты узнать реальный ip cайта который накрыт cloudflare ?

 

[0x01234567]

Поищи в истории DNS запсией старый IP адрес домена. Например при помощи passivetotal или http://viewdns.info/iphistory/
Вообще таких сервисов много, но если домен сразу за cf завели - то это конечно не поможет.
Проскань все возможные поддомены всех уровней, посмотри, куда они напрвлены. Посмотри DNS записи для email конфигурации, то есть MX и SPF. Фишка в том что CF это защита веб-сервера и электронная почта работать не будет, если она направлена на CF. Так что тут три варианта
1) Корп почта на каком нибудь gmail
2) Корп почта на выделенной для этого отдельно защищенной инфраструктуре
3) Самое частое - почта просто смотрит на настоящий IP сервера
Еще можно поискать возможность получить емейл от этого сайта и посмотреть внутрь на хидеры, запалить конечный релей можно например по recieved

Еще есть вариант посмотреть на выпущенный сертификат, там в графе SAN можно найти список афилированных доменов ("альтернативное имя субъектов сертификата"), косвенно можно сказать что они пренадлежат одному аккаунту CF. Возможно на соседних доменах как раз будет лазейка.

 

[ordinaria1]

What's that site running? | Netcraft

Using results from Netcraft's internet data mining, find out the technologies and infrastructure of any site.

sitereport.netcraft.com

тут еще можешь посмотреть

 

[c0d3x]

http://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/threads/82843/post-583305

 

[SecretHex]

DNS кеш может иногда помочь. Но маловероятно, если бекендовский ip закрыт фронтэндом и ему не присвоено никакого доменного имени, что как раз чаще всего делается в целях безопасности. Кроме того, DNS может быть локальным или возвращать другую информацию из зоны при использовании различных параметров сети и доступа. Тогда либо смотреть конфигурацию пробросов с фронтенда(типа обратного прокси какого-нибудь nginx, итд), или перехватывать с фронтенда трафик и смотреть куда перенаправляются запросы.

 

[baykal]

Просмотр IP-адреса сайта, находящегося за CloudFlare​

Если вы хотите узнать, где размещен сайт, защищенный Cloudflare, вам придется стать немного детективом. Придется искать подсказки, которые могли быть оставлены по ошибке.
8 популярных методов взлома, о которых вы должны знать

1. Набор инструментов
2. Использование DNS записей
3. Поддомены
4. Веб-приложения
5. WordPress XML-RPC
6. Virustotal
7. URLscan
8. CrimeFlare

Набор инструментов​

Инструмент	Описание
NMAP dns-brute script	Перечисление (под)доменов с помощью Nmap. Используйте его для получения списка потенциально интересных (под)доменов.
WhoIS7.ru	Используйте его для получения информации о WhoIS
Dig	Быстрое извлечение записей A и MX
Alvosec XML-RPC guide	Получение IP-адреса WordPress с помощью XML-RPC
VirusTotal и URLscan	Обе платформы могут быть использованы для получения информации об IP-адресах и истории доменов.
CrimeFlare	Этот инструмент от ZidanSec позволяет найти IP-адреса сайтов, защищенных CloudFlare

​

Использование DNS записей​

Начните с проверки DNS-записей сайта.
Считайте, что это следы, оставленные веб-сайтом.
Для поиска этих записей можно использовать такие инструменты, как Whois или Dig.

Поддомены​

У веб-сайтов часто есть маленькие братья и сестры, называемые субдоменами.
Это как бы разные разделы одного и того же сайта.
Можно попытаться угадать их имена или воспользоваться инструментами для их поиска.
Можно использовать инструмент типа Nmap со специальным скриптом или просто воспользоваться инструментами, которые помогут составить список поддоменов.

Веб-приложения​

В некоторых случаях устанавливаются веб-приложения.
Они могут предоставлять реальный IP-адрес.
Поэтому исследуйте их и узнавайте больше о веб-приложениях, как только обнаружите их.

WordPress XML-RPC​

Вы можете найти IP-адрес, выполняя вызовы pingback XMLRPC.
В WordPress существует функция pingback, позволяющая одному сайту сообщать другому о добавлении на него ссылки.
Вы можете использовать эту функцию WordPress для получения фактического IP-адреса домена, который вы пытаетесь идентифицировать.

Virustotal​

Эта платформа основана на краудсорсинговой аналитике, и нужная вам информация может быть получена бесплатно.
Воспользуйтесь Virustotal и выполните поиск нужного вам домена.
Открыв отчет, перейдите на вкладку “relations”.
Там вы найдете историю IP-адресов, привязанных к конкретному искомому домену.

URLscan​

Еще один инструмент, который стоит попробовать, – платформа URLscan.io.
Она также бесплатна, и, если повезет, домен может быть проиндексирован до того, как его защитит Cloudflare.
Перейдите на сайт URLscan.io и воспользуйтесь следующей командой, чтобы быстро получить нужную информацию.

page.domain:[DOMAIN]

CrimeFlare​

Вы также можете попробовать инструмент CrimeFlare, созданный компанией ZidanSec.
Просто зайдите на сайт, укажите домен и получите в ответ IP-адрес.
Вы также можете загрузить его на Github.

 

[S3VE7N]

Viewing the IP address of a site behind CloudFlare​

If you want to know where a Cloudflare-protected site is hosted, you'll have to be a bit of a detective. We'll have to look for clues that could have been left by mistake.
8 Popular Hacking Methods You Should Know About

1. Set of tools
2. Using DNS Records
3. Subdomains
4. Web applications
5. WordPress XML-RPC
6. Virustotal
7. URLscan
8. CrimeFlare

Set of tools​

A tool	Description
NMAP dns-brute script	Listing (sub)domains with Nmap. Use it to get a list of potentially interesting (sub)domains.
WhoIS7.ru	Use it to get information about WhoIS
Dig	Quick retrieval of A and MX records
Alvosec XML-RPC guide	Getting the WordPress IP Address with XML-RPC
VirusTotal and URLscan	Both platforms can be used to get information about IP addresses and domain history.
CrimeFlare	This tool from ZidanSec allows you to find the IP addresses of websites protected by CloudFlare

​

Using DNS Records​

Start by checking the site's DNS records.
Think of it as footprints left by the website.
You can use tools such as Whois or Dig to look up these records.

Subdomains​

Websites often have little siblings called subdomains.
It's like different sections of the same site.
You can try to guess their names or use tools to find them.
You can use a tool like Nmap with a custom script, or just use tools to help you list subdomains.

Web applications​

In some cases, web applications are installed.
They can provide a real IP address.
So explore them and learn more about web applications as soon as you discover them.

WordPress XML-RPC​

You can find the IP address by doing XMLRPC pingback calls.
WordPress has a pingback feature that allows one site to notify another that a link has been added to it.
You can use this WordPress feature to get the actual IP address of the domain you are trying to identify.

Virustotal​

This platform is based on crowdsourced analytics and the information you need can be obtained for free.
Use Virustotal and search for the domain you need.
After opening the report, go to the “relations” tab.
There you will find a history of IP addresses associated with the specific domain you are looking for.

URLscan​

Another tool worth trying is the URLscan.io platform.
It's also free, and with any luck, the domain might get indexed before Cloudflare protects it.
Go to URLscan.io and use the following command to quickly get the information you need.

page.domain:[DOMAIN]

CrimeFlare​

You can also try the CrimeFlare tool from ZidanSec.
Just go to the site, specify the domain and get an IP address in response.
You can also download it on Github.

And if none of these methods provide results, you should try with favicon hash search on zoomeye or shodan. You can use this script to retrieve the hash and then make the search on zoomeye like this:

and also if the target domain has some way of sending an email to yourself to try and retrieve an IP from email header. (forget password functionality)

 

[sitizary332]

Подскажите, есть варианты узнать реальный ip cайта который накрыт cloudflare ?

Можно через Virustotal посмотреть историю IP. Но не факт что он не был индексирован сразу с Cloudom

 

[workerB]

How to find out IP behind cloudflare and other waf and CND

Beforehand, it is very important to determine WAF / CND and there will be a separate article about this, in the same article we will not talk about defining WAF, but about how to find the real IP for CND / WAF

1. bruteforce subdomain ( https://github.com/aboul3la/Sublist3r ) & https://github.com/appsecco/bugcrowd-levelup-subdomain-enumeration & https://github.com/Elsfa7-110/Sfa7sub
2. sslyzer (get ssl certificate and info about other domains and extract their ip vs our domain to get real ip) https://github.com/iSECPartners/sslyze
3. send an email to the wrong email address and get a possible server response:
4. https://github.com/mandatoryprogrammer/cloudflare_enum (works fine, extracts csv) (login http://www.crimeflare.info/cfnsdump.html , http://www.crimeflare.com/cfs.html get information about these bases and work with it (use to resolve real ip)
5. May be helpful https://github.com/SageHack/cloud-buster and https://github.com/hasanemrebeyy/cloudflare-resolver
6. Get domain IP change history https://github.com/neocorv/rdns.py , extract and check
7. go to https://webresolver.nl/tools/cloudflare this website and check its api after integration if they have database to resolve.
8. https://github.com/m0rtem/CloudFail look here to see if we missed something (DNSDumpster.com)
9. Go to https://www.netcraft.com/ and look at the history of the domain - we can find it from there. ( https://github.com/PaulSec/API-netcraft.com )
10. https://github.com/danneu/cloudflare-ip cloudflare range
11. CHECK the DNS of the subdomain - this can give us the real DNS and IP http://support.simpledns.com/kb/a196/how-to-delegate-a-sub-domain-to-other-dns-servers.aspx
12. https://builtwith.com/relationships/lol.com find other domains, get their IP and try that IP on the domain of interest
13. https://github.com/vulnz/cloudflare/tree/master/cloudsub Simple Subdomain IP Resolver
14. https://github.com/pirate/sites-using-cloudflare Check in this CloudBleed list
15. Banal registration and viewing the headers of the letter that will come. You can use the service https://mxtoolbox.com/EmailHeaders.aspx
16. View source data for accidentally leaked IPs in html tags and JS scripts.
17. Viewing connections (sockets) with servers can also give the desired result.
18. Banal search using various search engines.
19. Using similar services to look up IP by domain that could be cached http://www.ip-neighbors.com/host/
20. Using services like cy-pr, pr-cy which also cache data on their own.
21. https://github.com/pirate/sites-using-cloudflare You can also look at this CloudBleed database
22. Scan subdomains of subdomains (they can also be on different IPs)
23. nice simple resolver: https://github.com/vulnz/cloudfailed

(c) PapaRed

Also, found a lot of success using my own server when registering with email, host of SMTP, if in-house, is almost always backend ip

 

[Balance]

These are all some great suggestions in this Thread,
next time im looking backend IP, i'll try some of these methods

I use these:

• https://criminalip.io
• https://shodan.io
• https://zoomeye.org
• https://dnsdumpster.com
• https://search.censys.io
• favicon shodan hash method

Thanks you everyone!

 

[zhuleak]

1. Enumerating subdomains by OWASP Amass or other tool
2. Collecting hosts on DNSdumpster, ZoomEye, Shodan, Censys, Maltego, SpiderFoot, theHarvester
3. Research history of hosts on SecurityTrails