前言

大家好，我是VoltCary當(dāng)我們談?wù)摾@過CDN查找真實(shí)IP的時(shí)候，不得不提到SSL證書，它確實(shí)是我們尋找真實(shí)IP的一大利器，至于為什么SSL證書會(huì)導(dǎo)致源站IP泄露？很多人或許沒有深入了解這個(gè)問題。目前好像還沒有幾篇文章詳解過，只是將其作為繞過CDN查找源站IP文章中一部分。

為了安全考慮，或者為了訪問速度考慮，重要的域名應(yīng)該都會(huì)加上CDN，也能保護(hù)一下源站ip不被泄露，再加上一層SSL證書，表面上，SSL證書看起來(lái)安全無(wú)比，包含的只是加密通信所需的公鑰、域名信息以及證書頒發(fā)機(jī)構(gòu)的相關(guān)信息，與服務(wù)器真實(shí)IP毫無(wú)關(guān)系。
然而，事實(shí)真的是這樣嗎？本文將深入剖析SSL證書如何成為泄露源站IP的關(guān)鍵，并借助Censys工具來(lái)揭示其中的秘密。

什么是censys？

提到證書查詢IP的情況，不得不提到知名的網(wǎng)絡(luò)搜索引擎Censys，它通過持續(xù)掃描全球的IP地址，收集并分析網(wǎng)絡(luò)設(shè)備的信息。其核心能力在于對(duì)證書和網(wǎng)絡(luò)服務(wù)的深度解析。

censys工作原理

全網(wǎng)掃描 掃描范圍：Censys會(huì)定期掃描整個(gè)公共IPv4地址空間，覆蓋數(shù)十億個(gè)IP地址。端口選擇：掃描數(shù)千個(gè)常用端口（超過3500個(gè)），以發(fā)現(xiàn)不同的網(wǎng)絡(luò)服務(wù)和協(xié)議。協(xié)議檢測(cè)：通過自動(dòng)協(xié)議檢測(cè)，Censys能夠識(shí)別每個(gè)開放端口上運(yùn)行的服務(wù)類型。服務(wù)識(shí)別：在掃描過程中，Censys會(huì)與目標(biāo)端口建立連接，獲取服務(wù)的Banner信息（即服務(wù)的標(biāo)識(shí)信息），以確定運(yùn)行的具體服務(wù)和版本。 證書收集

對(duì)于加密服務(wù)（如HTTPS），Censys會(huì)在握手過程中收集SSL/TLS證書信息，包括證書的公鑰、域名信息（如Common Name和Subject Alternative Name）以及頒發(fā)者信息等。

SSL證書如何導(dǎo)致源站IP泄露？

綜上所述，Censys掃描全球在線IP，包括端口、證書、元數(shù)據(jù)，此時(shí)censys數(shù)據(jù)庫(kù)中已經(jīng)存儲(chǔ)了大量相關(guān)數(shù)據(jù)。攻擊者先獲取CDN的域名，查詢域名的相關(guān)SSL證書信息，結(jié)合Censys語(yǔ)法進(jìn)行查詢，censys數(shù)據(jù)庫(kù)中存儲(chǔ)了大量源站IP的證書信息，利用這些信息與攻擊者輸入的證書信息匹配，存在相關(guān)性，那么就把這些IP作為域名的源站IP。
因此，證書是網(wǎng)絡(luò)中非?？煽康?ldquo;身份標(biāo)識(shí)”，可以跨域名和IP進(jìn)行關(guān)聯(lián)。

場(chǎng)景分析

當(dāng)源站IP證書與域名證書存在如下場(chǎng)景，CDN很有可能被繞過：

1. 域名證書與源站ip證書完全一致

每個(gè)SSL證書都有唯一的指紋（SHA256哈希值）、序列號(hào)和序列號(hào)有效期，用于標(biāo)識(shí)此證書的唯一性。場(chǎng)景1就是源站IP和域名都共同使用了這個(gè)證書。
censys比對(duì)證書的公鑰和指紋：證書中的公鑰用于加密和解密數(shù)據(jù)，其指紋是公鑰的哈希值。Censys通過比對(duì)證書的公鑰和指紋，可確定證書的唯一性和真實(shí)性，若兩個(gè)證書的公鑰或指紋相同，可認(rèn)定它們存在關(guān)聯(lián)。

2. 域名證書與源站IP證書存在相關(guān)性

每個(gè)SSL證書都有主題和頒發(fā)者信息：包含了域名、組織名稱、國(guó)家等主題信息，以及頒發(fā)者的相關(guān)信息。
場(chǎng)景2就是源站與域名證書的這些信息存在相關(guān)性的情況。
Censys通過比對(duì)這些信息，可直接判斷證書之間的關(guān)聯(lián)，如兩個(gè)證書的主題或頒發(fā)者相同或相似，可能存在關(guān)聯(lián)。

3. 通過證書鏈識(shí)別

•驗(yàn)證證書的合法性與完盩性：證書鏈由終端實(shí)體證書、中間證書和根證書組成，Censys會(huì)檢查證書鏈中的每個(gè)證書是否有效且完整，通過驗(yàn)證證書鏈上每個(gè)證書的簽名，確保其未被篡改，從而確認(rèn)證書的可信度以及與根證書的關(guān)聯(lián)關(guān)系。

•追溯證書的頒發(fā)路徑：Censvs 通過分析證書鏈中各證書的頒發(fā)者和主體信息，明確證書的頒發(fā)路徑，若多個(gè)域名的證書鏈最終指向同一個(gè)根證書或中間證書，可推斷這些域名的證書存在關(guān)聯(lián)。

•發(fā)現(xiàn)潛在的信任關(guān)系：證書鏈中的根證書通常由權(quán)威的證書頒發(fā)機(jī)構(gòu)頒發(fā)，被廣泛信任。如果不同域名的證書鏈共享同一根證書或中間證書，意味著這些域名在信任層面上存在一定關(guān)聯(lián)，可能屬于同一組織或存在業(yè)務(wù)合作關(guān)系。

4. 分析協(xié)議行為

利用Censys分析目標(biāo)CDN域名使用的應(yīng)用層協(xié)議行為，通過查找協(xié)議中的特定字段、請(qǐng)求頭、響應(yīng)頭、服務(wù)器標(biāo)識(shí)等信息，結(jié)合已知的源站特征或常見的服務(wù)器配置，嘗試識(shí)別與源站IP的關(guān)聯(lián)，使用類似“protocols.http.headers.server: “Server Name””的語(yǔ)法進(jìn)行搜索。

實(shí)戰(zhàn)操作

censys支持過濾輸出Hosts、證書，并根據(jù)用戶輸入的關(guān)鍵字，這些關(guān)鍵字如果匹配Hosts、證書中的任意內(nèi)容，例如Certificate、Fingerprint、Details等內(nèi)容，就會(huì)輸出相應(yīng)的Hosts、證書。

1.查詢域名可信任證書
(multipattern.com) and labels=trusted
返回了6個(gè)有效可信任的證書

2.查詢使用此證書的Hosts
找到IP：66.155.40.24

結(jié)果分析：
可以確定的是IP：66.155.40.24是CDN
與前面域名使用的是同一個(gè)證書，但是還不能盲目確定它們都是同一家企業(yè)的資產(chǎn)。畢竟它們有可能使用的是CDN廠商提供的共享證書，CDN廠商的共享證書，會(huì)被多個(gè)不同
的用戶使用。
下一步查看證書相關(guān)信息，如果證書SAN中只包含這一個(gè)域名，可以推測(cè)該IP與域名存在相關(guān)性，有可能是真實(shí)IP。

總結(jié)

SSL證書并非天衣無(wú)縫，它可以在無(wú)意間暴露源站IP。借助Censys這樣的工具，攻擊者能夠輕松地從證書信息中獲取線索，進(jìn)而定位源站IP。

安全團(tuán)隊(duì)需要更加警惕，通過合理的配置和持續(xù)的監(jiān)控，避免這種隱患的發(fā)生。

以下是一些防止 Censys 通過證書鏈識(shí)別出源站 IP 和 CDN 域名關(guān)聯(lián)的方法：

1.配置訪問限制：
配置防火墻，禁止公開源站ip 
屏蔽 Censys 的 IP 段 

Censys 的 IP 段在其官網(wǎng)有。我的機(jī)子使用的是 Ubuntu 系統(tǒng)，帶有 UFW 防火墻，按照下面的命令建立規(guī)則即可。

Censys IP段 ：https://support.censys.io/hc/en-us/articles/360043177092-Opt-Out-of-Data-Collection

屏蔽 Censys 的 UA：在 CDN 的配置中，設(shè)置規(guī)則屏蔽 Censys 掃描使用的用戶代理（UA），如在 Cloudflare CDN 的 “安全性 - WAF - 自定義規(guī)則” 中，將 “用戶代理” 字段設(shè)置為等于 “Mozilla/5.0 (compatible; CensysInspect/1.1; +https://about.censys.io/)” 進(jìn)行屏蔽。

2.利用服務(wù)器特性：
Nginx 特性：如果使用 Nginx 服務(wù)器且版本在 1.19.4 及以上，可在配置文件中添加 “ssl_reject_handshake on;” 指令，當(dāng)通過 IP 訪問時(shí)會(huì)終止 TLS 握手，避免暴露域名。
使用反向代理：在源站和 CDN 之間設(shè)置反向代理服務(wù)器，對(duì)源站 IP 進(jìn)行隱藏，使 Censys 難以直接獲取源站與 CDN 域名的關(guān)聯(lián)。

3.設(shè)置虛假站點(diǎn)
生成假證書和假站點(diǎn)：創(chuàng)建一個(gè)虛假的網(wǎng)站，生成自簽的空白 SSL 證書并應(yīng)用到該假站點(diǎn)上，將假站點(diǎn)設(shè)置為默認(rèn)站點(diǎn)。
設(shè)置返回代碼：在假站點(diǎn)的配置文件中，添加返回特定狀態(tài)碼的指令，如 “return 444;”，使通過 IP 訪問時(shí)返回?zé)o法訪問的頁(yè)面，隱藏真實(shí)源站。

最新評(píng)論