Uncovering CloudFlare

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Common Techniques to Uncover Cloudflare

ドメインの履歴DNSレコードを提供するサービスを使用できます。ウェブページが以前使用されていたIPアドレスで実行されている可能性があります。
履歴SSL証明書を確認することで、オリジンIPアドレスを指している可能性があります。
IPに直接ポイントする他のサブドメインのDNSレコードも確認してください。他のサブドメインが同じサーバーを指している可能性があります（FTP、メール、または他のサービスを提供するためかもしれません）。
ウェブアプリケーション内にSSRFが見つかった場合、それを悪用してサーバーのIPアドレスを取得できます。
shodanなどのブラウザでウェブページのユニークな文字列を検索してください（おそらくgoogleや類似のものでも？）。そのコンテンツを持つIPアドレスを見つけることができるかもしれません。
同様に、ユニークな文字列を探す代わりに、ツールを使用してファビコンアイコンを検索できます: https://github.com/karma9874/CloudFlare-IP または https://github.com/pielco11/fav-up
これは非常に頻繁には機能しませんが、サーバーがIPアドレスでアクセスされたときに同じ応答を送信する必要がありますが、何が起こるかわかりません。

Tools to uncover Cloudflare

http://www.crimeflare.org:82/cfs.html または https://crimeflare.herokuapp.com でドメインを検索します。または、そのAPIを使用するツールCloudPelerを使用します。
https://leaked.site/index.php?resolver/cloudflare.0/ でドメインを検索します。
CloudFlairは、ドメイン名を含むCensys証明書を使用して検索し、その証明書内のIPv4を検索し、最後にそれらのIPでウェブページにアクセスしようとするツールです。
CloakQuest3r: CloakQuest3rは、Cloudflareや他の代替手段によって保護されたウェブサイトの真のIPアドレスを明らかにするために慎重に作成された強力なPythonツールです。その主な目的は、Cloudflareの保護シールドの背後に隠されたウェブサーバーの実際のIPアドレスを正確に識別することです。
Censys
Shodan
Bypass-firewalls-by-DNS-history
ウェブページが存在する可能性のあるIPのセットがある場合は、https://github.com/hakluke/hakoriginfinderを使用できます。

# You can check if the tool is working with
prips 1.0.0.0/30 | hakoriginfinder -h one.one.one.one

# If you know the company is using AWS you could use the previous tool to search the
## web page inside the EC2 IPs
DOMAIN=something.com
WIDE_REGION=us
for ir in `curl https://ip-ranges.amazonaws.com/ip-ranges.json | jq -r '.prefixes[] | select(.service=="EC2") | select(.region|test("^us")) | .ip_prefix'`; do
echo "Checking $ir"
prips $ir | hakoriginfinder -h "$DOMAIN"
done

CloudインフラストラクチャからCloudflareを明らかにする

AWSマシンのために行われた場合でも、他のクラウドプロバイダーに対しても行うことができることに注意してください。

このプロセスのより良い説明については、次を確認してください：

Cloudflare bypass - Discover IP addresses of Web servers in AWS | TrickestTrickest

# Find open ports
sudo masscan --max-rate 10000 -p80,443 $(curl -s https://ip-ranges.amazonaws.com/ip-ranges.json | jq -r '.prefixes[] | select(.service=="EC2") | .ip_prefix' | tr '\n' ' ') | grep "open"  > all_open.txt
# Format results
cat all_open.txt | sed 's,.*port \(.*\)/tcp on \(.*\),\2:\1,' | tr -d " " > all_open_formated.txt
# Search actual web pages
httpx -silent -threads 200 -l all_open_formated.txt -random-agent -follow-redirects -json -no-color -o webs.json
# Format web results and remove eternal redirects
cat webs.json | jq -r "select((.failed==false) and (.chain_status_codes | length) < 9) | .url" | sort -u > aws_webs.json

# Search via Host header
httpx -json -no-color -list aws_webs.json -header Host: cloudflare.malwareworld.com -threads 250 -random-agent -follow-redirects -o web_checks.json

Cloudflareを通じてのバイパス

認証されたオリジンプル

このメカニズムは、Cloudflareのリバースプロキシサーバーとオリジンサーバー間の接続を認証するためにクライアントのSSL証明書に依存しています。これをmTLSと呼びます。

顧客は独自の証明書を設定する代わりに、Cloudflareの証明書を使用して、テナントに関係なくCloudflareからの接続を許可できます。

したがって、攻撃者は単にCloudflareの証明書を使用してCloudflareにドメインを設定し、被害者のドメインIPアドレスにポイントすることができます。この方法では、彼のドメインが完全に保護されていないため、Cloudflareは送信されたリクエストを保護しません。

詳細情報はこちら。

Cloudflare IPアドレスのホワイトリスト

これは、CloudflareのIPアドレス範囲から発信されない接続を拒否します。これは、攻撃者が単にCloudflareに自分のドメインをポイントして被害者のIPアドレスを攻撃するという前の設定にも脆弱です。

詳細情報はこちら。

スクレイピングのためのCloudflareのバイパス

キャッシュ

時には、単にウェブページをスクレイピングするためにCloudflareをバイパスしたいだけです。これにはいくつかのオプションがあります：

Googleキャッシュを使用：https://webcache.googleusercontent.com/search?q=cache:https://www.petsathome.com/shop/en/pets/dog
https://archive.org/web/などの他のキャッシュサービスを使用

ツール

以下のようなツールは、Cloudflareのスクレイピングに対する保護をバイパスすることができます（またはバイパスできたことがあります）：

https://github.com/sarperavci/CloudflareBypassForScraping

Cloudflareソルバー

いくつかのCloudflareソルバーが開発されています：

強化されたヘッドレスブラウザ

自動化されたブラウザとして検出されないヘッドレスブラウザを使用します（そのためにカスタマイズが必要な場合があります）。いくつかのオプションは：

Puppeteer: puppeteer用のステルスプラグイン。
Playwright: ステルスプラグインがPlaywrightに近日登場します。進捗はこちらとこちらでフォローしてください。
Selenium: undetected-chromedriverは最適化されたSelenium Chromedriverパッチです。

Cloudflare内蔵のバイパスを持つスマートプロキシ

スマートプロキシは、Cloudflareのセキュリティ対策を打破することを目的とした専門企業によって継続的に更新されています（それが彼らのビジネスです）。

その中には：

ScraperAPI
Scrapingbee
Oxylabs
Smartproxyは、独自のCloudflareバイパスメカニズムで知られています。

最適化されたソリューションを求める方には、ScrapeOps Proxy Aggregatorが際立っています。このサービスは、20以上のプロキシプロバイダーを単一のAPIに統合し、ターゲットドメインに対して最適でコスト効果の高いプロキシを自動的に選択するため、Cloudflareの防御を回避するための優れたオプションを提供します。

Cloudflareのアンチボット保護をリバースエンジニアリング

Cloudflareのアンチボット対策をリバースエンジニアリングすることは、スマートプロキシプロバイダーによって使用される戦術であり、多くのヘッドレスブラウザを運用する高コストなしで広範なウェブスクレイピングに適しています。

利点： この方法は、Cloudflareのチェックを特にターゲットにした非常に効率的なバイパスを作成することを可能にし、大規模な操作に最適です。

欠点： 欠点は、Cloudflareの意図的に不明瞭なアンチボットシステムを理解し、欺くことに関わる複雑さであり、Cloudflareが保護を強化するにつれて、さまざまな戦略をテストし、バイパスを更新するための継続的な努力が必要です。

これを行う方法についての詳細は元の記事で確認してください。

参考文献

https://scrapeops.io/web-scraping-playbook/how-to-bypass-cloudflare/

AWSハッキングを学び、実践する：HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、実践する：HackTricks Training GCP Red Team Expert (GRTE)

HackTricksをサポートする

サブスクリプションプランを確認してください！
**💬 Discordグループまたはテレグラムグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
ハッキングのトリックを共有するには、HackTricksとHackTricks CloudのGitHubリポジトリにPRを提出してください。

PreviousBasic Tomcat Info NextVMWare (ESX, VCenter...)

Last updated 1 month ago