Следующая новость
Предыдущая новость

WAF bypass. Как вызнать IP сайта, который использует WAF или защиту от DDoS

04.06.2020 14:22
WAF bypass. Как вызнать IP сайта, который использует WAF или защиту от DDoS

Содержание статьи

  • Как обхитрить систему
  • К практике
  • Пробуем навыки в деле
  • Выводы

Существуют разные сервисы, которые скрывают адрес сайта за другим IP — в целях защиты от DoS, DDoS или прочих атак. Это могут быть как всем известные облачные сервисы вроде Cloudflare, так и файрволы веб-приложений (WAF) и другие защитные решения. Задача их обхода сводится к тому, чтобы вызнать реальный IP, и для этого существуют готовые утилиты. Давай посмотрим, как пользоваться ими на практике.

Для начала чуть подробнее расскажу о том, что такое WAF и как он работает. Например, в составе всем знакомого веб-сервера Apache есть модуль mod_security, который способен выполнять функции файрвола веб-приложений и помочь защитить твой сервис от какой-нибудь тривиальной DoS-атаки. Одна из таких атак — HTTP(S) GET-флуд, когда серверу посылают бесчисленное множество запросов на получение информации. Сервер неспособен обработать столько запросов за очень короткий промежуток и попросту падает.

Подобную функцию может предоставлять и какой-то облачный провайдер — для простоты разные сервисы такого типа я дальше буду называть просто WAF. Принцип их работы можно описать следующим образом.

  1. Веб-сервер, который нужно защитить, работает в обычном режиме без фильтрации опасных запросов, а WAF-сервис настроен на отдельном сервере компании, предоставляющей подобные услуги.
  2. В некой DNS-записи в качестве IP нужного сайта указывается не его настоящий адрес, а IP-адрес сервера WAF.
  3. После такой настройки все запросы к доменному имени сайта будут направляться не на сам сайт, а на WAF-сервер.
  4. Этот сервер принимает запрос, обрабатывает его и, если запрос удовлетворяет настроенным правилам, отсылает его на защищаемый сервер. WAF получает от этого сервера запрашиваемую информацию (веб-страницу, файл) и перенаправляет ее клиенту (пользователю).

Как обхитрить систему

Так как современные WAF блокируют множество вредоносных запросов, не получится использовать утилиты вроде sqlmap или WPScan. Также невозможны атаки типа DoS или DDoS.

Поэтому у нас есть два варианта действий.

  1. Сконструировать запрос таким образом, чтобы обойти правила, прописанные в WAF (см. статью «Как искать байпасы в современных Web Application Firewalls»).
  2. Отправить запрос напрямую к веб-серверу, минуя проверку WAF.

Дальше мы сконцентрируемся на втором пункте. Для его реализации нам нужно знать настоящий IP-адрес сервера и быть уверенными, что этот сервер способен принимать запросы напрямую из сети от кого угодно. Прямой IP-адрес сервера часто называют словом bypass. Иногда прямой доступ к нему специально сохраняют, чтобы сервер мог продолжить работу в случае неполадок на стороне WAF-сервисов.

Для этой цели мы будем использовать скрипт с длинным, но говорящим названием: Bypass firewalls by abusing DNS history.

Эта утилита пытается узнать настоящий IP-адрес нужного нам сервера сразу двумя методами.

  1. Анализ истории DNS-записей.
  2. Поиск поддоменов и последующий анализ их IP-адресов.

Ко всем найденным IP-адресам скрипт делает запросы для проверки.

INFO

Более подробное изложение теории ты можешь найти в статье «Вычисляем реальный IP сервера за Cloudflare/Qrator».

К практике

Скрипт находится в открытом доступе на GitHub. Я запускал его в Kali Linux, но он может работать и в других дистрибутивах.

Команды для установки на Kali выглядят так:

$ sudo apt install jq $ git clone https://github.com/vincentcox/bypass-firewalls-by-DNS-history 

Команда для установки в дистрибутиве BlackArch:

$ sudo pacman -S bypass-firewall-dns-history jq 

Возвращаемся в Kali. Первой строчкой мы ставим необходимый модуль для работы скрипта, а второй скачиваем скрипт с GitHub. Чтобы получить справку по использованию тулзы, достаточно перейти в ее директорию и выполнить следующую команду:

$ bash bypass-firewalls-by-DNS-history.sh --help 

Как видишь, разработчик скрипта предусмотрел несколько параметров:

  • -d — обязательный ключ для использования скрипта. С его помощью мы указываем доменное имя сайта, для которого хотим найти bypass;
  • -a — с этим параметром найденные IP будут проверены не только для основного домена, но и для поддоменов;
  • -l — этот параметр позволяет подгрузить в скрипт твой список поддоменов, чтобы выполнить более детальную и точную проверку;
  • -o — данный параметр позволяет сохранить результат работы скрипта в файл, путь к которому указывается после параметра.

Продолжение доступно только участникам

Материалы из последних выпусков становятся доступны по отдельности только через два месяца после публикации. Чтобы продолжить чтение, необходимо стать участником сообщества «Xakep.ru».

Присоединяйся к сообществу «Xakep.ru»!

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», увеличит личную накопительную скидку и позволит накапливать профессиональный рейтинг Xakep Score! Подробнее

1 год

7690 р.

1 месяц

720 р.

Я уже участник «Xakep.ru»

Источник

Последние новости