• Hërculës

¿Qué hacer ante Cloudflare?

Cloudflare es un proveedor de firewall de aplicaciones web (WAF) ampliamente utilizado alrededor del mundo. Cloudflare se encuentra entre usted y el servidor original de la aplicación web, por lo tanto, cualquier payload que intente ejecutar en la página pasa por éste y como es de esperar, lo bloquea.

No importa si eres hacker, bug hunter o pentester, es obvio que puede ser muy interesante deshacerse del firewall. Para eso, básicamente hay 3 opciones:

  1. Debe entender qué reglas tiene establecidas el WAF; personalizar sus payloads para evitar las reglas vigentes y poder bypassearlo. Puede probar los payloads disponibles en PayloadsAllTheThings en caso de que no querer analizarlo manualmente o no tener tanto tiempo.

  2. Puede modificar las solicitudes de manera adecuada para interrumpir el servidor y estudiar su comportamiento. Al igual que la primera opción, puede llevar mucho tiempo, requiere paciencia y buenas habilidades de fuzzing. Soroush Dalili, cuenta con un presentación donde habla mas de este punto.

  3. Probablemente la opción más fácil, ya que no se requieren habilidades técnicas y también es parte del proceso de reconocimiento, es buscar la dirección ip de origen del servidor web para poder rodear a Cloudfare.

Figura 1. Wappalyzer identifica Cloudflare en la página.

Nuestra atención se va a centrar en el tercer punto, pues hay un sin fin de técnicas de gran utilidad, así como herramientas.


Observación

Cloudflare es una herramienta que debe ser configurada por humanos, generalmente desarrolladores o administradores de sistemas, por lo que los errores que estas personas cometan van a permitir o no encontrar/acceder a la dirección ip original.


Censys

Si la página que se está analizando cuenta con un certificado SSL (¡debería hacerlo!), lo más seguro es que esté registrado en la base de datos de Censys -recomiendo ampliamente registrarse- en la página seleccione la opción Certificates e introduzca el nombre del target.

Figura 2. Búsqueda de certificados en Censys.

De click en los resultados obtenido y una vez dentro, en la pestaña "Explore" seleccione la opción "IPv4 host".

Figura 3. Certificado de la página de CTSec-Hub.

Enseguida se le mostrarán las direcciones ip de los servidores que utilizan el mismo certificado.

Figura 4. Páginas con el mismo certificado.

Guarde todas las ip que encuentre e intente acceder al target a través de todos estas.


DNS Records


Si después de sufrir múltiples ataques, una compañia decidió comenzar a usar CloudFlare. Los servicios basados en datos como Censys para registros DNS todavía tienen los registros A antiguos que apuntan a la dirección IP de sus servidores web.

Una plataforma que también hace exactamente esto es SecurityTrails. Simplemente ingrese el dominio del sitio web y presione enter. Los "datos históricos" se pueden encontrar en la barra lateral en el lado izquierdo.

Figura 5. Registros históricos de Finra.

Además de los registros A antiguos, incluso los registros DNS actuales pueden filtrar la ip del servidor de origen. Los registros MX, por ejemplo, son una forma común de encontrar su ip. Si el sitio web aloja su propio servidor de correo en el mismo servidor e ip que el servidor web, la ip del servidor de origen estará en los registros MX.


Crimeflare

Crimeflare se basa únicamente en determinar el servidor de acceso directo de nuestro target, es decir, el servidor de origen. Mantienen una base de datos que contiene el nombre de todos los servicios que usan Cloudflare y quién está detrás del servicio.

Figura 6. Ip original de bugcrowd.

Herramientas de Github

Nunca es malo automatizar las cosas, pues hasta ahora hemos visto cómo buscar y verificar direcciones IP manualmente, afortunadamente existen personas que comparten sus códigos para facilitarnos la tarea. Puede incluirlos en su proceso de reconocimiento tan pronto como detecte Cloudflare, aunque tenga en cuenta que ninguno de estos métodos es 100% confiable, ya que todos los objetivos son diferentes y lo que funcionará para uno, puede no funcionar para otro. Mi consejo: Pruébalas todas. ;).

Enseguida se muestran las herramientas recomendadas y la fuente de donde obtienen sus datos.

HatCloud: crimeflare, ipinfo.io. CrimeFlare: crimeflare, ipinfo.io. bypass-firewalls-by-DNS-history: securitytrails, crimeflare.

CloudFail: dnsdumpster, crimeflare, subdomain brute force. CloudFlair: requiere la key de Censys. CloudIP: nslookup y otros servicios (ftp, cpanel, mail, direct, direct-connect, webmail, portal).


Nota

Poder rodear Cloudflare es algo que se considera una configuración de seguridad incorrecta, por lo que merece ser reportado.






HUB

HUB es un grupo líder en el ramo de capacitación y consultoría con mas de 100 colaboradores directos e indirectos a lo largo de la República Mexicana y America Latina

  • Facebook
  • Twitter

CDMX | TORRE REFORMA

 Paseo de la Reforma 483, Piso 14
Col. Cuauhtémoc

GUADALAJARA |  CENTRAL PARK

Diagonal  San Jorge 100,
Col. Vallarta San Jorge

MONTERREY | PABELLON M

 Juárez #1102 Pte, Piso 4 y 5
Col. Centro,

CDMX - QRO - GDL - MTY

Tel: 55 50150510

©2020 por Certification Hub. Es una empresa de Hub México