cloudflare bypass

playing with

2021-05-05

Cloudflare, Crimeflare, dnsdumpster, favicon, Shodan, IP

Overview

Cloudflare, es una empresa estadounidense que comercializa una solución de entrega de contenidos que nos puede ayudar a proteger la infraestructura que exponemos a internet.

Su solución, entre otras opciones, permite que ocultemos las direcciones IP reales de nuestros servicios cuando estos son publicados en internet mediante una CDN content delivey network, red de entrega de contenidos.

Una CDN content delivey network, o su traducción al español red de entrega de contenidos es un conjunto de servidores que disponiendo de una copia del contenido original lo distribuyen, proporcionándonos distintas ventajas:

Reducción de la carga de los servidores origen. 
Red de tráfico distribuida. 
Reducción de la latencia. 
Incremento del ancho de banda disponible. 
Aumento del cahe web. 
Ocultación de la IP origen real.

En este post nos centraremos en esta última característica, la ocultación de la IP real, que es uno de los motivos por los que se suele implementar Cloudflare.

Debe tenerse en cuenta que, cuando la configuración de nuestros servicios no es correcta, la ocultación de la IP real puede quedar comprometida, usando distintas técnicas.

Como se muestra en su página web Cloudfare nos proporciona protección contra DDos ataques de denegación de servicio, waf u otros servicios que nos pueden ser de gran utilidad a la hora de proteger, por ejemplo, nuestra página web. Sugiero visitar su página para ahondar en sus servicios. En sus funciones básicas el servicio es gratuito, algo que lo hace aún más interesante.

Por último, apuntar que las técnicas que expongo a continuación no son debidas a fallos en Cloudflare, sino debidas a malas configuraciones en los servicios publicados.

Crimeflare

Crimeflare, es un servicio de carácter activista que revela algunas IPs reales, ocultas tras Cloudflare. No es el objeto de este post entrar en valoraciones, simplemente listar las técnicas o herramientas que nos pueden permitir obtener la IP real detrás de un servicio web publicado, haciendo uso de Cloudflare. En su página web detallan sus motivos.

Como estamos comentando, [Crimeflare][(http://www.crimeflare.org:82/cfs.html) pone a nuestra disposición un servicio web donde, proporcionando un dominio, nos ofrecen esta información.

También podemos hacer uso de una herramienta publicada en GitHub que nos permite obtener los mismos resultados desde nuestra consola.

No encontraremos la IP de todos los clientes de Cloudflare, pero es una fuente a consultar.

DNS

Cuando registramos un nuevo dominio en Cloudflare, este nos proporciona las indicaciones para hacer uso de sus servidores DNS en vez de los de nuestro ISP, protegiendo así nuestra IP real.

Es probable que en un servidor dispongamos de más de un servicio y que no todos ellos se hayan configurado dentro de Cloudflare. Es importante tenerlo en cuenta ya que con la búsqueda de registros DNS de nuestro dominio es posible encontrar IP’s que no se hayan protegido correctamente y que permitan a un atacante obtener la IP real de nuestro servicio.

Esta información la podemos obtener fácilmente del servicio web dnssumpster o mediante el script CloudFail publicado en GitHub que hace uso de su API para Python.

En esta ocasión la información revelada puede darnos falsos positivos, ya que cada subdominio puede apuntar a IP’s distintas, pero siempre ampliará la superficie de exposición del servicio analizado.

favicon

Otra técnica consiste en usar el favicon, el icono que muestra el explorador de cualquier página web, para buscarlo posteriormente en [shodan](https://www. shodan.io) y así obtener su IP real.

Cuando configuramos un servicio a través de Cloudflare, es necesario que restrinjamos su acceso únicamente a los servidores de CLoudflare, de lo contrario, servicios como Shodan puedan escanearlo y almacenar la información del servicio, haciéndola accesible mediante búsquedas.

En el caso que estamos analizando, Shodan almacena el hash de la paginas web que escanea y es posible buscar sus detalles comparándolo con el hash de la página que estamos investigando. Para ello, debemos obtener el hash de la imagen favicon.ico y consultarlo en Shodan del siguiente modo.

http.favicon.hash: ***hash***

En este caso es posible que obtengamos otros servicios relacionados. En ocasiones los desarrolladores usan el mismo favicon para otros servicios, como portales de gestión y estos, también, pueden ser revelados.

Del mismo modo, si el favicon es el genérico del servidor web, nos puede proporcionar también falsos positivos.

Dejo el enlace de un script, cloudflare-getIP, que realiza esta tarea de forma automática, indicando la dirección de la página web nos proporcionara la información de las tres técnicas mencionadas en este post. Solo anotar que, al hacer uso de la búsqueda mediante la API de Shodan, será necesario que seamos miembros o dispongamos de un plan contratado.

Conclusiones

CLoudflare es un gran servicio, sin duda protegerá los servicios que expongamos a internet. Tenemos que ser cuidadosos con su configuración y verificar que no existen fugas de información no deseadas.

El uso de herramientas o plataformas como Cloudflare no garantizará la seguridad de nuestros servicios si estos no se han configurado cuidadosamente.

Hasta aquí el post de hoy. Espero haya sido de vuestro interés.
No dudéis en contactar mediante el formulario para hacerme llegar vuestros comentarios.