Come accennavo negli articoli precedenti, CloudFlare è un ottimo servizio per poterci proteggere da bot e attacchi esterni oltre a nascondere IP del nostro server oltre ad avere funzionalità di cache che ne velocizzando la consultazione e diminuisce il traffico effettivo verso i nostri server.
Per chi non lo conoscesse, CloudFlare (in particolare nelle versioni a pagamento) filtra il traffico in entrata verso i nostri server bloccando il traffico anomalo attraverso regole firewall e WAF (Web Application Firewall) rendendo le nostre applicazioni più al sicuro e riducendo il traffico e le performance inutili che i server devono spendere per rispondere a queste richieste.
![](https://i0.wp.com/www.manuelroccon.it/wp-content/uploads/2022/04/image-6.png?resize=562%2C282&ssl=1)
Anche se protetti da questa tipologia di Proxy, essendo servizi web, se venissimo a conoscenza IP del server che ci sta dietro è possibile comunque bypassare CloudFlare semplicemente modificando il file host del nostro computer e quindi superare tutte le difese ci CloudFlare, tutte le richieste arriveranno al nostro server senza passare per la protezione di CloudFlare.
Ma come è possibile trovare IP reale?
Per molti hosting, dove il server viene usato sia per ospitare il servizio web che la mail è sufficiente verificare IP del server MX.
Nelle configurazione più eterogenee, dove MX punti a un antispam o ogni servizio punti a un server differente individuare il server reale comincia a diventare più complicato.
La prossima mossa sarebbe quella di spiare i dns di terzo livello del dominio per intercettare un altro dns che punti a un IP differente, questo si può fare con un dizionario di comuni nomi DMS e poche righe di codice (bash o pyton), oppure tramite un servizio online come dnsspy…
Una tecnica più sofisticata è quella di cerca di sfruttare delle vulnerabilità come RFI (remote file inclusion) al fine di caricare un file da un server remoto (che sarà il nostro) e individuare IP del server che ci sta facendo la chiamata, oppure tramite una vulnerabilità RCE (remote code execution), la più pericolosa, ma a questo punto il proprietario del server avrebbe ben altro a cui pensare che al proprio IP pubblico :-).
Per velocizzare queste verifiche esiste il tool CLOUDFAIL che automatizzato e combina più modalità di scansione per identificare questi indirizzi.
https://github.com/m0rtem/CloudFail
ClaudFail combina la ricerca dei principali record, cerca l’esistenza di record in Crimeflare ed esegue uno scan dei principali sottodomini.
Facciamo un esempio, vogliamo verificare i plugin del dominio www.xyz.it che sappiamo è un sito WordPress.
![](https://i0.wp.com/www.manuelroccon.it/wp-content/uploads/2022/04/image.png?resize=725%2C242&ssl=1)
Per qualche motivo il tool non restituisce nessuna informazione utile, verificando il motivo è proprio perché c’è CloudFlare.
![](https://i0.wp.com/www.manuelroccon.it/wp-content/uploads/2022/04/image-1.png?resize=379%2C75&ssl=1)
Ora usiamo il tool di cui abbiamo clonato la repo…
![](https://i0.wp.com/www.manuelroccon.it/wp-content/uploads/2022/04/image-3.png?resize=751%2C435&ssl=1)
Effettivamente ci sono molti record che riconducono a un noto provider in Germania, ora proviamo a reindirizzare le richieste tramite il file host…
![](https://i0.wp.com/www.manuelroccon.it/wp-content/uploads/2022/04/image-4.png?resize=671%2C71&ssl=1)
Ottimo ora riproviamo a scansionare il dominio…
![](https://i0.wp.com/www.manuelroccon.it/wp-content/uploads/2022/04/image-5.png?resize=680%2C360&ssl=1)
Bingo! Ora riusciamo ad ottenere le informazioni che cercavamo scavalcando completamente le protezioni di CloudFlare.
Ora un altro esempio in cui il tool non individua niente perché configurato correttamente:
![](https://i0.wp.com/www.manuelroccon.it/wp-content/uploads/2022/04/image-8.png?resize=796%2C266&ssl=1)
Da questo banale esempio, ci dimostra che anche avendo una protezione a monte, se non completamente configurata è facilmente scavalcabile. Per cui è necessario prestare attenzione ai record pubblicati, in particolare quelli comuni.
Per il record MX se necessariamente il server di posta è lo stesso del server web, munirsi di antispam.
Ricordiamoci che la sicurezza non è mai troppa.