Author Topic: CloudFlare "ByPass"  (Read 2396 times)

freak_out

  • Hoffnungslose Technikniete
  • Global Moderator
  • Network News
  • *****
  • Posts: 158
  • Karma: +31/-0
  • Von den Frühstücksflocken
    • View Profile
    • freak
CloudFlare "ByPass"
« on: September 21, 2014, 01:48:04 pm »
Manche Webseiten/Foren verstecken sich hinter CloudFlare um sich vor DDoS Attacken zu schützen.
Wenn man eine solche Webseite nun anpingt bzw. die Domain auflöst, bekommt man nicht die IP des Servers sondern eine IP von CloudFlare zurück.

In diesem Tutorial will ich euch 2 Methoden vorstellen wie es teils dennoch möglich ist an die richtige Server IP heranzukommen.

Als Beispiel dafür nehmen wir folgendes Forum
http://h4ckz0ne.net/

Wie man auf dem Screenshot sieht nutzt das Forum als DDoS Protection CloudFlare.

Methode 1 – Subdomains BruteForcen

Diese Methode funktioniert wenn der Admin beim einrichten von CloudFlare einen Fehler gemacht hat. Zum Beispiel wenn er CloudFlare nur für:
example.com
www.example.com
aber nicht für:
ftp.example.com
eingerichtet hat.

Was man demnach machen muss ist einfach ein paar gängige Subdomains auf der Domain durchprobieren und zu gucken ob die IP zu CloudFlare gehört oder nicht.
Am besten schreibt man sich dafür ein kleines Perl/Python/Whatever Skript.
(Natürlich kann es auch sein das z.B. ftp.example.com auf ein anderen Server zeigt wo nicht das Forum drauf liegt.)

Wie man sieht lösen h4ckz0ne.net und www.h4ckz0ne.net nach 104.28.13.7 und 104.28.12.7 auf. Eine kleine whois abfrage auf diese IP's ergibt das diese zu CloudFlare gehören.
Aber bei mail.,webmail.,ftp. und .admin sehen wir eine andere IP (5.199.171.44) die nicht zur CloudFlare gehört. Vermutlich handelt es sich dabei um die echte IP des Servers.
Wenn wir diese IP nun in einem Browser aufrufen erscheint mit etwas Glück das Forum. Und im diesem Fall ist es sogar so:


So wie es ausschaut wurde CloudFlare nicht richtig eingerichtet. ;)

Methode 2 – Avatar Upload via URL

Viele Foren Anwendungen bieten nicht nur die Möglichkeit an, ein Avatar vom Computer hochzuladen, sondern auch die Möglichkeit ein Bild von einer URL als Avatar zu nehmen. Der Server, wo das Forum drauf läuft, lädt dann quasi das Bild von der URL herunter.

Was wir für diese Methode  brauchen ist ein Server/Webspace wo wir auch Zugriff auf die Access logs haben.

Man muss dann einfach sich nur im Forum anmelden, auf seinem Webspace ein Avatar hochladen und die URL zum Avatar im Forum als Avatar eintragen und speichern.

Dann einfach in der access log Datei gucken welche IP auf das Bild zugegriffen hat und schon hat man die Server IP.



In manchen Foren ist aus dem Grund diese Funktion deaktiviert bzw. man darf nur Bilder von Imagehostern wie imgur,abload etc verwenden.

Hoffe der ein oder andere findet das interessant und kann es vielleicht mal irgendwann gebrauchen.