Αποκάλυψη του CloudFlare

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Μάθετε & εξασκηθείτε στο Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks

• Ελέγξτε τα σχέδια συνδρομής!
• Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
• Μοιραστείτε κόλπα hacking υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.

Συνηθισμένες τεχνικές για την αποκάλυψη του Cloudflare

• Μπορείς να χρησιμοποιήσεις κάποια υπηρεσία που σου δίνει τα historical DNS records του domain. Ίσως η web page τρέχει σε μια IP address που έχει χρησιμοποιηθεί προηγουμένως.
• Το ίδιο μπορεί να επιτευχθεί ελέγχοντας τα historical SSL certificates που μπορεί να δείχνουν στην origin IP address.
• Έλεγξε επίσης τα DNS records of other subdomains pointing directly to IPs, καθώς είναι πιθανό άλλα subdomains να δείχνουν στον ίδιο server (π.χ. για FTP, mail ή κάποια άλλη υπηρεσία).
• Αν βρεις SSRF inside the web application μπορείς να το εκμεταλλευτείς για να αποκτήσεις την IP address του server.
• Αναζήτησε μια μοναδική συμβολοσειρά της σελίδας σε μηχανές όπως shodan (και ίσως google και παρόμοιες). Ίσως βρεις μια IP address με αυτό το περιεχόμενο.
• Με παρόμοιο τρόπο, αντί να ψάξεις για μια uniq string, μπορείς να ψάξεις για το favicon icon με το εργαλείο: https://github.com/karma9874/CloudFlare-IP ή με https://github.com/pielco11/fav-up
• Αυτό δεν δουλεύει πολύ συχνά επειδή ο server πρέπει να στείλει την ίδια απόκριση όταν προσπελαύνεται μέσω IP address, αλλά ποτέ δεν ξέρεις.

Εργαλεία για την αποκάλυψη του Cloudflare

• Αναζήτησε το domain στο http://www.crimeflare.org:82/cfs.html ή https://crimeflare.herokuapp.com. Ή χρησιμοποίησε το εργαλείο CloudPeler (που χρησιμοποιεί αυτό το API)
• Αναζήτησε το domain στο https://leaked.site/index.php?resolver/cloudflare.0/
• CF-Hero είναι ένα ολοκληρωμένο reconnaissance tool που αναπτύχθηκε για να ανακαλύψει τις πραγματικές IP addresses των web applications προστατευμένων από Cloudflare. Εκτελεί συλλογή πληροφοριών από πολλαπλές πηγές μέσω διαφόρων μεθόδων.
• CloudFlair είναι ένα εργαλείο που θα ψάξει χρησιμοποιώντας Censys certificates που περιέχουν το domain name, στη συνέχεια θα αναζητήσει IPv4s μέσα σε αυτά τα certificates και τέλος θα προσπαθήσει να προσπελάσει τη web page σε αυτές τις IPs.
• CloakQuest3r: CloakQuest3r είναι ένα ισχυρό Python εργαλείο επιμελώς σχεδιασμένο για να αποκαλύψει την πραγματική IP address ιστοτόπων που προστατεύονται από Cloudflare και άλλες εναλλακτικές, μια ευρέως υιοθετημένη υπηρεσία web security και performance enhancement. Ο κύριος σκοπός του είναι να διακρίνει με ακρίβεια την πραγματική IP address των web servers που κρύβονται πίσω από την προστατευτική ασπίδα του Cloudflare.
• Censys
• Shodan
• Bypass-firewalls-by-DNS-history
• Αν έχεις ένα σύνολο πιθανών IPs όπου βρίσκεται η web page, μπορείς να χρησιμοποιήσεις https://github.com/hakluke/hakoriginfinder

# You can check if the tool is working with
prips 1.0.0.0/30 | hakoriginfinder -h one.one.one.one

# If you know the company is using AWS you could use the previous tool to search the
## web page inside the EC2 IPs
DOMAIN=something.com
WIDE_REGION=us
for ir in `curl https://ip-ranges.amazonaws.com/ip-ranges.json | jq -r '.prefixes[] | select(.service=="EC2") | select(.region|test("^us")) | .ip_prefix'`; do
echo "Checking $ir"
prips $ir | hakoriginfinder -h "$DOMAIN"
done

Αποκάλυψη του Cloudflare από υποδομή cloud

Σημειώστε ότι ακόμη κι αν αυτό έγινε για μηχανές AWS, θα μπορούσε να γίνει για οποιονδήποτε άλλο πάροχο cloud.

Για καλύτερη περιγραφή αυτής της διαδικασίας δείτε:

https://trickest.com/blog/cloudflare-bypass-discover-ip-addresses-aws/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks

# Find open ports
sudo masscan --max-rate 10000 -p80,443 $(curl -s https://ip-ranges.amazonaws.com/ip-ranges.json | jq -r '.prefixes[] | select(.service=="EC2") | .ip_prefix' | tr '\n' ' ') | grep "open"  > all_open.txt
# Format results
cat all_open.txt | sed 's,.*port \(.*\)/tcp on \(.*\),\2:\1,' | tr -d " " > all_open_formated.txt
# Search actual web pages
httpx -silent -threads 200 -l all_open_formated.txt -random-agent -follow-redirects -json -no-color -o webs.json
# Format web results and remove eternal redirects
cat webs.json | jq -r "select((.failed==false) and (.chain_status_codes | length) < 9) | .url" | sort -u > aws_webs.json

# Search via Host header
httpx -json -no-color -list aws_webs.json -header Host: cloudflare.malwareworld.com -threads 250 -random-agent -follow-redirects -o web_checks.json

Παράκαμψη του Cloudflare μέσω Cloudflare

Authenticated Origin Pulls

This mechanism relies on client SSL certificates to authenticate connections between Cloudflare’s reverse-proxy servers and the origin server, which is called mTLS.

Instead of configuring it’s own certificate, customers can simple use Cloudflare’s certificate to allow any connection from Cloudflare, regardless of the tenant.

Caution

Therefore, an attacker could just set a domain in Cloudflare using Cloudflare’s certificate and point it to the victim domain IP address. This way, setting his domain completely unprotected, Cloudflare won’t protect the requests sent.

More info here.

Allowlist Cloudflare IP Addresses

This will reject connections that do not originate from Cloudflare’s IP address ranges. This is also vulnerable to the previous setup where an attacker just point his own domain in Cloudflare to the victims IP address and attack it.

More info here.

Bypass Cloudflare for scraping

Cache

Sometimes you just want to bypass Cloudflare to only scrape the web page. There are some options for this:

• Use Google cache: https://webcache.googleusercontent.com/search?q=cache:https://www.petsathome.com/shop/en/pets/dog
• Use other cache services such as https://archive.org/web/

Tools

Some tools like the following ones can bypass (or were able to bypass) Cloudflare’s protection against scraping:

• https://github.com/sarperavci/CloudflareBypassForScraping

Cloudflare Solvers

There have been a number of Cloudflare solvers developed:

• FlareSolverr
• cloudscraper Guide here
• cloudflare-scrape
• CloudflareSolverRe
• Cloudflare-IUAM-Solver
• cloudflare-bypass [Archived]
• CloudflareSolverRe

Fortified Headless Browsers

Χρησιμοποίησε έναν headless browser που δεν ανιχνεύεται ως αυτοματοποιημένος browser (ίσως χρειαστεί να τον προσαρμόσεις για αυτό). Μερικές επιλογές είναι:

• Puppeteer: The stealth plugin for puppeteer.
• Playwright: The stealth plugin is coming to Playwright soon. Follow developments here and here.
• Selenium: SeleniumBase είναι ένα σύγχρονο πλαίσιο αυτοματοποίησης browser με ενσωματωμένες stealth δυνατότητες. Προσφέρει δύο λειτουργίες: UC Mode, ένα βελτιστοποιημένο Selenium ChromeDriver patch βασισμένο σε undetected-chromedriver, και CDP Mode, που μπορεί να παρακάμψει bot detection, να λύσει CAPTCHAs και να αξιοποιήσει προηγμένες μεθόδους από το Chrome DevTools Protocol.

Smart Proxy With Cloudflare Built-In Bypass

Smart proxies ενημερώνονται συνεχώς από εξειδικευμένες εταιρείες, με στόχο να υπερκεράσουν τα μέτρα ασφαλείας του Cloudflare (καθώς αυτό είναι η δουλειά τους).

Κάποιες από αυτές είναι:

• ScraperAPI
• Scrapingbee
• Oxylabs
• Smartproxy είναι γνωστές για τους ιδιόκτητους μηχανισμούς παράκαμψης του Cloudflare.

Για όσους αναζητούν μια βελτιστοποιημένη λύση, ο ScrapeOps Proxy Aggregator ξεχωρίζει. Αυτή η υπηρεσία ενσωματώνει πάνω από 20 παρόχους proxy σε ένα ενιαίο API, επιλέγοντας αυτόματα τον καλύτερο και πιο οικονομικό proxy για τους στόχους σας, προσφέροντας έτσι μια ανώτερη επιλογή για την αντιμετώπιση των αμυντικών μηχανισμών του Cloudflare.

Reverse Engineer Cloudflare Anti-Bot Protection

Reverse engineering των anti-bot μέτρων του Cloudflare είναι μια τακτική που χρησιμοποιούν οι smart proxy providers, κατάλληλη για εκτεταμένο web scraping χωρίς το υψηλό κόστος λειτουργίας πολλών headless browsers.

Πλεονεκτήματα: Αυτή η μέθοδος επιτρέπει τη δημιουργία μιας εξαιρετικά αποδοτικής παράκαμψης που στοχεύει ειδικά τους ελέγχους του Cloudflare, ιδανική για μεγάλες επιχειρήσεις.

Μειονεκτήματα: Το αρνητικό είναι η πολυπλοκότητα στην κατανόηση και την παραπλάνηση του σκόπιμα αμφίβολου anti-bot συστήματος του Cloudflare, απαιτώντας συνεχή προσπάθεια για δοκιμές διαφορετικών στρατηγικών και ενημερώσεις της παράκαμψης καθώς το Cloudflare ενισχύει τις προστασίες του.

Find more info about how to do this in the original article.

References

• https://scrapeops.io/web-scraping-playbook/how-to-bypass-cloudflare/

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Μάθετε & εξασκηθείτε στο Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks

• Ελέγξτε τα σχέδια συνδρομής!
• Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
• Μοιραστείτε κόλπα hacking υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.