利用工具从Cloudflare中发现源IP-X黑手网

为什么要找源IP？

作为渗透测试人员/赏金猎人，如果找到源 IP，我们就不需要绕过任何 Cloudflare WAF，从而可以直接将查询注入到源服务器，如下图所示：

如何查看网站是否使用Cloudflare WAF？

非常简单，直接使用 Wappalyzer 插件就可以，比如下图：

如何找到源IP？

推荐工具：CloudFail

下载与安装

git clone https://github.com/m0rtem/CloudFail.git
pip3 install -r requirements.txt

使用

python3 cloudfail.py --target seo.com

如上图所示，该工具获取到一个IP地址“52.172.42.229”，然后你就可以将该IP地址放入“whoisIP”工具中交叉检查该IP，查询该IP是否属于目标组织。

如果确定为源IP，那么就可以尝试进行 XSS、SQL注入、目录暴力破解等渗透测试，而且不会有任何 WAF 阻止你的请求或 IP。

当然，还是要记住一句话：避免过度依赖工具，因为它们可能会给出误报结果；作为初学者，还是要学习基础，打好地基！

希望本文对你有所帮助。

1、本网站名称： X黑手网
2、本站永久网址：https://www.xheishou.com
3、本网站的文章部分内容可能来源于网络，仅供大家学习与参考，如有侵权，请联系站长进行删除处理。
4、本站一切资源不代表本站立场，并不代表本站赞同其观点和对其真实性负责。
5、本站一律禁止以任何方式发布或转载任何违法的相关信息，访客发现请向站长举报
6、本站资源大多存储在云盘，如发现链接失效，请联系我们我们会第一时间更新。

THE END