CloudFlare aufdecken

Tip

Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Lernen & üben Sie Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Unterstützen Sie HackTricks

Häufige Techniken, um CloudFlare zu enttarnen

  • Du kannst einen Service nutzen, der dir die historical DNS records der Domain liefert. Vielleicht läuft die Webseite auf einer zuvor genutzten IP address.
  • Gleiches lässt sich erreichen, indem du checking historical SSL certificates prüfst, die auf die origin IP address verweisen könnten.
  • Prüfe auch DNS records of other subdomains pointing directly to IPs, denn es ist möglich, dass andere Subdomains auf denselben Server zeigen (z.B. für FTP, mail oder einen anderen Dienst).
  • Falls du eine SSRF inside the web application findest, kannst du diese ausnutzen, um die IP address des Servers zu erhalten.
  • Suche eine eindeutige Zeichenfolge der Webseite in Suchdiensten wie shodan (und vielleicht google und ähnlichen). Vielleicht findest du so eine IP address mit diesem Inhalt.
  • Ähnlich kannst du statt nach einer eindeutigen Zeichenfolge nach dem favicon suchen, z. B. mit dem Tool: https://github.com/karma9874/CloudFlare-IP oder mit https://github.com/pielco11/fav-up
  • Das funktioniert nicht sehr häufig, weil der Server die gleiche Antwort liefern muss, wenn er über die IP address angesprochen wird — aber man weiß nie.

Tools to uncover Cloudflare

  • Suche die Domain bei http://www.crimeflare.org:82/cfs.html oder https://crimeflare.herokuapp.com. Oder nutze das Tool CloudPeler (das diese API verwendet)
  • Suche die Domain unter https://leaked.site/index.php?resolver/cloudflare.0/
  • CF-Hero ist ein umfassendes Reconnaissance-Tool, entwickelt, um die realen IP addresses von Webanwendungen zu entdecken, die durch Cloudflare geschützt sind. Es sammelt Informationen aus mehreren Quellen mittels verschiedener Methoden.
  • CloudFlair ist ein Tool, das Censys-Zertifikate durchsucht, die den Domainnamen enthalten, dann nach IPv4s in diesen Zertifikaten sucht und schließlich versucht, die Webseite unter diesen IPs aufzurufen.
  • CloakQuest3r: CloakQuest3r ist ein mächtiges Python-Tool, sorgfältig entwickelt, um die echte IP address von Websites zu enthüllen, die durch Cloudflare und ähnliche Dienste geschützt sind, einem weit verbreiteten Web-Sicherheits- und Performance-Verbesserungsdienst. Sein Kernziel ist es, die tatsächliche IP address von Webservern, die hinter Cloudflare verborgen sind, genau zu ermitteln.
  • Censys
  • Shodan
  • Bypass-firewalls-by-DNS-history
  • Wenn du eine Menge potenzieller IPs hast, auf denen die Webseite liegen könnte, könntest du https://github.com/hakluke/hakoriginfinder verwenden
# You can check if the tool is working with
prips 1.0.0.0/30 | hakoriginfinder -h one.one.one.one

# If you know the company is using AWS you could use the previous tool to search the
## web page inside the EC2 IPs
DOMAIN=something.com
WIDE_REGION=us
for ir in `curl https://ip-ranges.amazonaws.com/ip-ranges.json | jq -r '.prefixes[] | select(.service=="EC2") | select(.region|test("^us")) | .ip_prefix'`; do
echo "Checking $ir"
prips $ir | hakoriginfinder -h "$DOMAIN"
done

Cloudflare in Cloud-Infrastruktur aufdecken

Beachte, dass selbst wenn dies für AWS-Maschinen durchgeführt wurde, es auch für jeden anderen Cloud-Anbieter möglich ist.

Für eine bessere Beschreibung dieses Prozesses siehe:

https://trickest.com/blog/cloudflare-bypass-discover-ip-addresses-aws/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks

# Find open ports
sudo masscan --max-rate 10000 -p80,443 $(curl -s https://ip-ranges.amazonaws.com/ip-ranges.json | jq -r '.prefixes[] | select(.service=="EC2") | .ip_prefix' | tr '\n' ' ') | grep "open"  > all_open.txt
# Format results
cat all_open.txt | sed 's,.*port \(.*\)/tcp on \(.*\),\2:\1,' | tr -d " " > all_open_formated.txt
# Search actual web pages
httpx -silent -threads 200 -l all_open_formated.txt -random-agent -follow-redirects -json -no-color -o webs.json
# Format web results and remove eternal redirects
cat webs.json | jq -r "select((.failed==false) and (.chain_status_codes | length) < 9) | .url" | sort -u > aws_webs.json

# Search via Host header
httpx -json -no-color -list aws_webs.json -header Host: cloudflare.malwareworld.com -threads 250 -random-agent -follow-redirects -o web_checks.json

Bypassing Cloudflare through Cloudflare

Authenticated Origin Pulls

Dieser Mechanismus beruht auf client SSL certificates zur Authentifizierung von Verbindungen zwischen den Cloudflare’s reverse-proxy-Servern und dem origin-Server, was als mTLS bezeichnet wird.

Anstatt ein eigenes Zertifikat zu konfigurieren, können Kunden einfach das Cloudflare‑Zertifikat verwenden, um jede Verbindung von Cloudflare zuzulassen, unabhängig vom tenant.

Caution

Daher könnte ein Angreifer einfach eine domain in Cloudflare setzen, Cloudflare’s certificate verwenden und sie auf die victim-domain IP zeigen lassen. Wenn er seine domain dabei komplett ungeschützt lässt, schützt Cloudflare die gesendeten Requests nicht.

Mehr Infos hier.

Allowlist Cloudflare IP Addresses

Dies lehnt Verbindungen ab, die nicht aus den IP‑Adressbereichen von Cloudflare stammen. Das ist ebenfalls anfällig für das vorherige Szenario, bei dem ein Angreifer einfach seine eigene domain in Cloudflare auf die victim‑IP zeigt und angreift.

Mehr Infos hier.

Bypass Cloudflare for scraping

Cache

Manchmal will man Cloudflare nur umgehen, um die Webseite zu scrapen. Es gibt einige Optionen dafür:

  • Google Cache verwenden: https://webcache.googleusercontent.com/search?q=cache:https://www.petsathome.com/shop/en/pets/dog
  • Andere Cache‑Dienste benutzen, z. B. https://archive.org/web/

Tools

Einige Tools können Cloudflare‑Schutz gegen Scraping umgehen (oder konnten es früher):

Cloudflare Solvers

Es wurden mehrere Cloudflare‑Solver entwickelt:

Fortified Headless Browsers

Verwende einen headless browser, der nicht als automatisierter Browser erkannt wird (gegebenenfalls musst du ihn dafür anpassen). Einige Optionen sind:

  • Puppeteer: Das stealth plugin für puppeteer.
  • Playwright: Das stealth plugin kommt bald zu Playwright. Verfolge die Entwicklungen hier und hier.
  • Selenium: SeleniumBase ist ein modernes Browser‑Automatisierungs‑Framework mit eingebauten Stealth‑Funktionen. Es bietet zwei Modi: UC Mode, ein optimierter Selenium ChromeDriver‑Patch basierend auf undetected-chromedriver, und CDP Mode, der Bot‑Erkennung umgehen, CAPTCHAs lösen und erweiterte Methoden des Chrome DevTools Protocol nutzen kann.

Smart Proxy With Cloudflare Built-In Bypass

Smart proxies werden von spezialisierten Anbietern kontinuierlich aktualisiert, mit dem Ziel, Cloudflares Sicherheitsmaßnahmen zu überlisten (das ist ihr Geschäftsfeld).

Einige davon sind:

Für diejenigen, die eine optimierte Lösung suchen, sticht der ScrapeOps Proxy Aggregator hervor. Dieser Dienst integriert über 20 Proxy‑Provider in eine einzige API und wählt automatisch den besten und kosteneffektivsten Proxy für deine Ziel‑Domains aus — eine gute Option zum Umgehen von Cloudflares Abwehrmechanismen.

Reverse Engineer Cloudflare Anti-Bot Protection

Reverse Engineering von Cloudflares Anti‑Bot‑Maßnahmen ist eine Taktik, die von smart proxy Providern verwendet wird und sich für umfangreiches Web‑Scraping eignet, ohne die hohen Kosten für viele headless browser zu tragen.

Vorteile: Diese Methode ermöglicht die Entwicklung eines extrem effizienten Bypasses, der speziell auf Cloudflares Prüfungen abzielt — ideal für großangelegte Operationen.

Nachteile: Der Nachteil ist die Komplexität: Es erfordert tiefes Verständnis und Tricks, um Cloudflares absichtlich verschleierte Anti‑Bot‑Systeme zu täuschen, sowie kontinuierliche Tests und Updates des Bypasses, wenn Cloudflare seine Schutzmaßnahmen verbessert.

Mehr Informationen dazu im original article.

References

Tip

Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Lernen & üben Sie Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Unterstützen Sie HackTricks