Uncovering CloudFlare

Apprenez le piratage AWS de zéro à héros avec htARTE (Expert en équipe rouge AWS de HackTricks)!

Autres façons de soutenir HackTricks :

Techniques courantes pour découvrir Cloudflare

  • Vous pouvez utiliser un service qui vous donne les enregistrements DNS historiques du domaine. Peut-être que la page web est hébergée sur une adresse IP utilisée précédemment.

  • Il est possible d'obtenir le même résultat en vérifiant les certificats SSL historiques qui pourraient pointer vers l'adresse IP d'origine.

  • Vérifiez également les enregistrements DNS d'autres sous-domaines pointant directement vers des adresses IP, car il est possible que d'autres sous-domaines pointent vers le même serveur (peut-être pour offrir FTP, mail ou tout autre service).

  • Si vous trouvez un SSRF à l'intérieur de l'application web, vous pouvez l'exploiter pour obtenir l'adresse IP du serveur.

  • Recherchez une chaîne de caractères unique de la page web dans des navigateurs tels que shodan (et peut-être google et similaires ?). Vous pourriez trouver une adresse IP avec ce contenu.

  • De manière similaire, au lieu de rechercher une chaîne de caractères unique, vous pourriez rechercher l'icône favicon avec l'outil : https://github.com/karma9874/CloudFlare-IP ou avec https://github.com/pielco11/fav-up

  • Cela ne fonctionnera pas très fréquemment car le serveur doit envoyer la même réponse lorsqu'il est accédé par l'adresse IP, mais on ne sait jamais.

Outils pour découvrir Cloudflare

# You can check if the tool is working with
prips 1.0.0.0/30 | hakoriginfinder -h one.one.one.one

# If you know the company is using AWS you could use the previous tool to search the
## web page inside the EC2 IPs
DOMAIN=something.com
WIDE_REGION=us
for ir in `curl https://ip-ranges.amazonaws.com/ip-ranges.json | jq -r '.prefixes[] | select(.service=="EC2") | select(.region|test("^us")) | .ip_prefix'`; do
echo "Checking $ir"
prips $ir | hakoriginfinder -h "$DOMAIN"
done

Découverte de Cloudflare à partir de machines Cloud

Notez que même si cela a été fait pour des machines AWS, cela pourrait être fait pour tout autre fournisseur de cloud.

Pour une meilleure description de ce processus, consultez :

# Find open ports
sudo masscan --max-rate 10000 -p80,443 $(curl -s https://ip-ranges.amazonaws.com/ip-ranges.json | jq -r '.prefixes[] | select(.service=="EC2") | .ip_prefix' | tr '\n' ' ') | grep "open"  > all_open.txt
# Format results
cat all_open.txt | sed 's,.*port \(.*\)/tcp on \(.*\),\2:\1,' | tr -d " " > all_open_formated.txt
# Search actual web pages
httpx -silent -threads 200 -l all_open_formated.txt -random-agent -follow-redirects -json -no-color -o webs.json
# Format web results and remove eternal redirects
cat webs.json | jq -r "select((.failed==false) and (.chain_status_codes | length) < 9) | .url" | sort -u > aws_webs.json

# Search via Host header
httpx -json -no-color -list aws_webs.json -header Host: cloudflare.malwareworld.com -threads 250 -random-agent -follow-redirects -o web_checks.json

Contourner Cloudflare via Cloudflare

Tirs de l'origine authentifiés

Ce mécanisme repose sur les certificats SSL du client pour authentifier les connexions entre les serveurs reverse-proxy de Cloudflare et le serveur d'origine, appelé mTLS.

Au lieu de configurer son propre certificat, les clients peuvent simplement utiliser le certificat de Cloudflare pour autoriser toute connexion en provenance de Cloudflare, indépendamment du locataire.

Par conséquent, un attaquant pourrait simplement définir un domaine dans Cloudflare en utilisant le certificat de Cloudflare et le pointer vers l'adresse IP du domaine de la victime. De cette manière, en laissant son domaine complètement non protégé, Cloudflare ne protégera pas les requêtes envoyées.

Plus d'informations ici.

Autoriser les adresses IP de Cloudflare

Cela rejettera les connexions qui ne proviennent pas des plages d'adresses IP de Cloudflare. Cela est également vulnérable à la configuration précédente où un attaquant pointe simplement son propre domaine dans Cloudflare vers l'adresse IP de la victime et l'attaque.

Plus d'informations ici.

Contourner Cloudflare pour le scraping

Cache

Parfois, vous voulez simplement contourner Cloudflare pour scraper la page web. Voici quelques options :

  • Utilisez le cache Google : https://webcache.googleusercontent.com/search?q=cache:https://www.petsathome.com/shop/en/pets/dog

  • Utilisez d'autres services de cache tels que https://archive.org/web/

Solveurs Cloudflare

Plusieurs solveurs Cloudflare ont été développés :

Navigateurs sans tête renforcés

Utilisez un navigateur sans tête qui n'est pas détecté comme un navigateur automatisé (vous devrez peut-être le personnaliser pour cela). Voici quelques options :

Proxy intelligent avec contournement intégré de Cloudflare

Les proxies intelligents sont continuellement mis à jour par des entreprises spécialisées, visant à contourner les mesures de sécurité de Cloudflare (car c'est leur métier).

Certains d'entre eux sont :

Pour ceux qui recherchent une solution optimisée, l'agrégateur de proxy ScrapeOps se distingue. Ce service intègre plus de 20 fournisseurs de proxy dans une seule API, sélectionnant automatiquement le proxy le meilleur et le plus rentable pour vos domaines cibles, offrant ainsi une option supérieure pour contourner les défenses de Cloudflare.

Rétro-ingénierie de la protection anti-bot de Cloudflare

La rétro-ingénierie des mesures anti-bot de Cloudflare est une tactique utilisée par les fournisseurs de proxy intelligents, adaptée au scraping web étendu sans les coûts élevés de l'exécution de nombreux navigateurs sans tête.

Avantages : Cette méthode permet de créer un contournement extrêmement efficace qui cible spécifiquement les vérifications de Cloudflare, idéal pour les opérations à grande échelle.

Inconvénients : L'inconvénient réside dans la complexité de comprendre et de tromper le système anti-bot délibérément obscur de Cloudflare, nécessitant des efforts continus pour tester différentes stratégies et mettre à jour le contournement à mesure que Cloudflare renforce ses protections.

Trouvez plus d'informations sur la façon de faire cela dans l'article original.

Références

Apprenez le piratage AWS de zéro à héros avec htARTE (HackTricks AWS Red Team Expert)!

Autres moyens de soutenir HackTricks :

Last updated