Статья HatCloud - Обход Cloudflare

Приветствую всех! В этой статье я хочу вас ознакомить с утилитой HatCloud.

HatCloud – инструмент, написанный на Ruby, его целью является, попытка обойти сервис CloudFlare на сайте, для того, чтобы выяснить реальный IP.

Это может быть полезно, если вам нужно протестировать ваш сервер и веб-сайт. Например, провести тестирование защиты от DoS и DDoS атак.

CloudFlare - популярный CDN-прокси, расположенный в США, который позволяет сделать Ваш сайт быстрее, за счет организации кеширования и более защищённым, за счет фильтрации запросов, похожих на атаки. При этом никаких особых изменений в сам проект вносить не нужно. Всё достигается добавлением адреса сайта в сервис и изменением записи NS для вашего домена.

Установим инструмент, я использую Kali Linux 2016.2.

> git clone https://github.com/HatBashBR/HatCloud

> cd HatCloud/

> ls –la

> chmod +x hatcloud.rb

Затем, запустим Hatcloud с опцией –help, для вызова справки о программе:

> ruby hatcloud.rb –help

Как видно, опций тут совсем немного. Надо попробовать программу в действии.

> ruby hatcloud.rb –b example.com

На проверяемом мною сайте, программа отработала корректно. Я получил искомый адрес. В некоторых случаях программе не удавалось ничего найти, я не могу сказать, с чем это связано.

На этом, пожалуй, все, может, кому ни будь, пригодится. Спасибо за внимание.

 

[Vertigo]

Программа отличная,пользуюсь ей. С неудачным поиском реального IP тоже сталкиваюсь иногда . Как правило , такое происходит с очень небольшими и малоизвестными ресурсами , пока не попавших в списки различных баз и зависит от особенностей настроек защит от пингования.От себя ещё могу добавить , что реальный адрес можно искать на сайте , где ,если он занесён в базу , то отобразит реальный IP ресурса на карте.Сайт называется statstool.com . Второй способ через запрос команды # dig ANY , после чего первые выводы пингуются . Ещё один способ не совсем этичный - через Websploit c использованием модуля cloudfare .

 

[valerian38]

Спасибо. Статья интересная.

 

[z3RoTooL]

спасибо, интересно, но адрес кодбая не нашёл как дудосить кодбай - не ясно

 

[evve]

Почитайте код этого "НОВАТОРА". Через crimeflare.com проходит поиск ай-пишников. Такую прогу я за вечер напишу. Поэтому напрямую заходим на

Ссылка скрыта от гостей

и ищем, что нужно.

 

[Easypay]

подскажите плиз что не так? На любом линке одно и тоже(

 

[Nimnul]

Второй способ через запрос команды # dig ANY , после чего первые выводы пингуются

Можно немного подробнее, по многочисленным просьбам прихожан? Непонятно что там пинговать.

подскажите плиз что не так? На любом линке одно и тоже(

 

[Vertigo]

Можно немного подробнее, по многочисленным просьбам прихожан? Непонятно что там пинговать.

Для начала узнаются поддомены,затем они пингуются:

# ping mail.имя_поддомена
# ping ftp.имя_поддомена и т.д. (сервисы можно узнать через nmap)

Можно их пробовать пинговать и напрямую,но это расчёт на некорректную настройку Cloudflare.
Ещё полезно иногда пользоваться утилитой curl:

# curl -H "Host: сайт.com" https://IP-адрес -k

А можно и так проверить заодно NS-записи,откуда можно выявить изменение зон:

# dnsrecon –d сайт.com

Способов много,некоторые смотрят историю сайта и это помогает,пользуются картинкой-невидимкой с iplogger invisible.
Но в основном,для сокращения времени используют онлайн-сервисы для этого,которые можно найти в интернете.

 

[Nimnul]

Ещё один способ не совсем этичный - через Websploit c использованием модуля cloudfare .

Websploit c репозиториев Kali Linux почему-то сейчас не такой, как я вижу в сети на скринах из 2017-го года. И модуля cloudfare там я не обнаружил. Нашёл версию 3.0.0. Актуально ли будет её использовать? Что скажете? Даже при обновлении баз родным скриптом, дата в интерфейсе программы остаётся старой.
Возможно ли, что ресурс за cloudfare имеет несколько IP?
Cпасибо за уделённое время и обширные пояснения.

 

[but43r]

Websploit c репозиториев Kali Linux почему-то сейчас не такой, как я вижу в сети на скринах из 2017-го года. И модуля cloudfare там я не обнаружил. Нашёл версию 3.0.0. Актуально ли будет её использовать? Что скажете? Даже при обновлении баз родным скриптом, дата в интерфейсе программы остаётся старой.
Возможно ли, что ресурс за cloudfare имеет несколько IP?
Cпасибо за уделённое время и обширные пояснения.

В качестве альтернативы WebSploit с модулем CloudFlare, можно использовать CloudFail

 

[Vertigo]

Websploit c репозиториев Kali Linux почему-то сейчас не такой, как я вижу в сети на скринах из 2017-го года.

Вы правы,есть Websploit 2017 года,в котором присутствует интересующий модуль.
Но конкретно данная версия инструмента не поддерживается и не обновляется.
Он также был выпилен из списка последних релизов Kali Linux как зависимый от пакетов Python,репозитории кот.были убраны.
Актуальность так себе,время не стоит на месте и защита развивается.

Возможно ли, что ресурс за cloudfare имеет несколько IP?

Отличный вопрос и важный,поэтому и необходима разведка перед тестированием.
И запросы сканирования не только по IP,но и по имени домена.
Потому что,на одном IP может работать несколько ресурсов.
И некоторые пользуются сервисом Cloudflare,а другие нет.
Которые под защитой,у них будет IP от Cloudflare,т.к. те принимают на себя запросы.
Но реальный IP будет в итоге один.
Изучение поддоменов позволяет тестировать требуемую цель,а не её "соседей".
У web-ресурсов часто имеются сервера FTP,почтовые.Их реальные IP различные.
Но часть их может быть под защитой,часть нет.Это финансовый вопрос.
А на который свой IP принимать запросы защищённого ими ресурса и менять ли его -это уже дело Компании,предоставляющей данную услугу.

 

[Krang]

Тут есть интересная ситуация когда одна машина показывает несколько ip. То есть, шодан показывает идентичное по,месторасположение, а ip разные. Вот как это понимать?

 

[Vertigo]

Тут есть интересная ситуация

Причин может быть много.
Shodan нашёл уязвимую машину по реальному IP,а ресурс на хостинге пользуется Cloudflare.
Ресурс большой и на хостинге настроены другие его серверы для различных задач,некоторые под Cloudflare и IP другой показывается.
И даже теоретически возможно поймать такой момент,когда закончился договор услуг Cloudflare и забыли его продлить.
Ошибка тестового ПО-такое тоже встречается.
Настройки защиты от администраторов ресурса помимо сторонних услуг от сканирований.

 

[Krang]

Причин может быть много.
Shodan нашёл уязвимую машину по реальному IP,а ресурс на хостинге пользуется Cloudflare.
Ресурс большой и на хостинге настроены другие его серверы для различных задач,некоторые под Cloudflare и IP другой показывается.
И даже теоретически возможно поймать такой момент,когда закончился договор услуг Cloudflare и забыли его продлить.
Ошибка тестового ПО-такое тоже встречается.
Настройки защиты от администраторов ресурса помимо сторонних услуг от сканирований.

Я правильно понимаю,что на одной машине крутится несколько сервисов, и каждый со своим ip? У cloudf свой диапазон ip, а на машине совсем другие адреса.

 

[Vertigo]

Я правильно понимаю,что на одной машине крутится несколько сервисов, и каждый со своим ip?

Может такое быть,но если виден сетевой "расколбас" (IP не от одной подсети),то вероятно какой-либо сервис настроен через VPN-шлюз.

У cloudf свой диапазон ip, а на машине совсем другие адреса.

На машине адреса реальные,но только вместо них видны подставные от Cloudflare.

 

[InetTester]

Буду благодарен за совет,

1. удалось найти ip за cloudflare(проверил на нескольких площадках вроде он, но как всегда быть уверенным на 100% не могу)
2 .Но при переходе по 80, 443 портам получаю заглушку 'It works!' которая мне с радостью говорит о том что сервак только что был установлен и отлично работает
3 Предполагаю что сервер настроен отдавать данные на cloudflare(чекает по хедерам) а всем остальным сует дефолтную страницу.. так сказать маскируется)... как лучше быть в данном случае?

В теории я понимаю что нужно ему скормить необходимые хедеры после чего сервер начнет отдавать мне нормальный контент,

Но по каким именно хедерам идет проверка?
Или это значит что даже имея белый ip сервака мой путь на его http/https закрыт ?
Если узнаю какие хедеры он проверят то тогда уже попробую настроить к примеру тот же wfuzz...

 

[Krang]

Буду благодарен за совет,

1. удалось найти ip за cloudflare(проверил на нескольких площадках вроде он, но как всегда быть уверенным на 100% не могу)
2 .Но при переходе по 80, 443 портам получаю заглушку 'It works!' которая мне с радостью говорит о том что сервак только что был установлен и отлично работает
3 Предполагаю что сервер настроен отдавать данные на cloudflare(чекает по хедерам) а всем остальным сует дефолтную страницу.. так сказать маскируется)... как лучше быть в данном случае?

В теории я понимаю что нужно ему скормить необходимые хедеры после чего сервер начнет отдавать мне нормальный контент,

Но по каким именно хедерам идет проверка?
Или это значит что даже имея белый ip сервака мой путь на его http/https закрыт ?
Если узнаю какие хедеры он проверят то тогда уже попробую настроить к примеру тот же wfuzz...

Очень интересная ситуация. А что говорит shodan? На каких портах apache?

 

[InetTester]

Очень интересная ситуация. А что говорит shodan? На каких портах apache?

Смотрел в самом начале, все стандартно, выглядит как обычный vds за пачку сигарет)

 

[Krang]

Смотрел в самом начале, все стандартно, выглядит как обычный vds за пачку сигарет)

Так все просто, на vds только что установили apache) Я то думал что-серьезное

 

[InetTester]

Так все просто, на vds только что установили apache) Я то думал что-серьезное

)Там по факту сервер с неплохим трафиком... а выглядит этот ip как обычный школьный сервер...