Cómo Encontrar la IP Real Detrás de Cloudflare (Parte 2): Guía Completa

 Logre animarme a compartir este método para ustedes, aunque la seguridad de cloudflare mejora cada vez más se puede lograr encontrar la IP real y este método es gracias al recon que una persona puede realizar.




Antes de empezar me preguntarán para que quiero encontrar la IP real de un dominio... La respuesta es muy sencilla, se puede realizar una mejor explotación sin necesidad de un WAF, pero seguirán preguntando, pero para eso también se puede agregar un WAF por medio del servidor para seguir protegiendo el dominio y la respuesta sería pues es más sencillo saltar ese WAF así que el de cloudflare.

Bueno antes de empezar quiero agradecer a mi amigo @BetilloGalvan_ que me vio realizando este proceso de manera manual y me ayudo a realizarlo en el proceso automático. 

Quiero aclarar que los dominios que aparecen en este articulo no se realizó ninguna explotación y no me hago responsable, esto lo puede realizar muchas personas que se encentran realizando un reconocimiento en la FASE 01.

¿Qué procede para encontrar la IP real?

He leído muchas herramientas sé que encuentran en internet como cloudfail, cloudmare, etc. Puede utilizarlo y con suerte encontrar la IP real, pero a veces no dan buenos resultados.

Vamos a continuar con el artículo anterior como ejemplo:
Encontrar una IP real detrás de Cloudflare - Parte 1 (creadpag.com)
Se encontró una IP (54.183.45.158), entonces si con solo has encontrado eso, pero el dueño o propietario se ha encontrado de eliminar la IP y ha cambiado por otra IP, lo que vamos a realizar es una búsqueda a ASN.

¿Qué es un ASN?

Un sistema autónomo (AS) es una red o grupo de redes muy grande con una única política de enrutamiento. A cada AS se le asigna un único ASN, que es un número que identifica al AS.

Te dejo un artículo de cloudflare te explica más: here

¿Entonces que hago?

Existe una plataforma que te ayuda muchísimo sobre el ASN.
https://ipinfo.io/IPENCONTRADA
Ahora lograste obtener dos cosas que nos importan mucho, ASN, Rango. La misma plataforma te puede realizar información sobre eso, con este proceso puedes tener suerte en encontrar el dominio, pero si no te toca realizarlo por tu cuenta.
Observa ejemplo:


Me dirás OMG creadpag me llevará toda la vida investigar todo eso, en este caso son servidores de amazon su problema de ellos o como google o microsoft que tienen estos servidores con IP puedes lograr encontrar la IP porque ellos no te cambian de ASN. 
Sigamos viendo más resultado:

¡Me seguirás diciendo OMG! creadpag son demasiadas, te puede llevar toda la vida, pero realmente te ayudará.
Seguí viendo:


La misma plataforma te dirá los resultados de los dominios registrados para darte una idea, la siguiente ruta seria.
El método que realizaba era con nmap, en mi experiencia me llevaba una semana y ese tiempo no es bueno, aunque puede ser que vos conozcas comando para acelerar el proceso.
Te daré un ejemplo y nos vamos a enfocar con el rango que aparece en la IP.

 nmap -sV -p 443 -T4 -A -v 54.183.0.0/17
Este comando confirmarás sobre que ip tiene el puerto 443 abierto y ver si en el certificado agregaron el nombre de dominio que es la manera correcta que ellos firmen un certificado SSL.


Mientras este proceso te muestra que realiza a 1024 hosts y tenés que realizar una búsqueda del nombre del dominio que estas buscando.

¿Qué pasa si comienzo a buscar desde el dominio?

Este proceso cambiaría y empezarías a realizar recon de subdominios, este proceso existe plataformas donde realiza historial de IP.
Como, por ejemplo: SecurityTrails.




Ahora realizamos con la otra plataforma y verificamos que ASN se encuentra.


Ahora nosotros tenemos que realizar la búsqueda del ASN en este caso lo vemos también en shodan.




Ahora este proceso de búsqueda solo funcionaria con cuentas premium para realizar si encuentras el dominio.

¿Cómo aceleramos este proceso?

Este proceso lleva su tiempo, pero puedes acelerarlo con una herramienta que se encuentra en los paquetes de Linux, con el siguiente comando.

apt-cache search prips
apt-get install prips

Este proceso lo podemos combinar con HTTPX, para que nos muestro el nombre del dominio, pero esto funcionaria al conseguir todos los rangos obtenidos por medio del ASN.

Ahora podés realizar con el siguiente comando:

 prips RANGODEIP | httpx  -s -sc -title


Ahora observa como es el resultado:


Ahora comenzarías a buscar el título del dominio registrado, lo puedes filtrar también usando grep, pero en mi experiencia tenés que ver si alguno se te pasa.

¡Listo! así logras conseguir la IP real después de varios recon. Espero te ayude este post y no te olvides en compartirlo para seguir compartiendo para seguir escribiendo más articulo para ustedes.

Artículo Anterior Artículo Siguiente