摘要：如您所见，常规 DNS 查询会返回域的 IP 地址。例如，musana.net 位于 Cloudflare (CF) 后面，但有时域有多个 A 记录，其中一些可能不对应于与 CF 关联的 IP 地址。（此 DNS 输出仅为说明性示例，可能不代表 musana.

CF-Hero 是一款综合侦察工具，旨在发现受 Cloudflare 保护的 Web 应用程序的真实 IP 地址。它通过多种方法进行多源情报收集。

该工具分析来自这些来源的数据，以识别受 Cloudflare 保护的目标的潜在原始 IP 地址。它通过响应分析来验证发现，以最大限度地减少误报。

该工具的简单流程图

让我们看一些 DNS 设置错误的用例。

如您所见，常规 DNS 查询会返回域的 IP 地址。例如，musana.net 位于 Cloudflare (CF) 后面，但有时域有多个 A 记录，其中一些可能不对应于与 CF 关联的 IP 地址。（此 DNS 输出仅为说明性示例，可能不代表 musana.net 的确切 DNS 答案。）

另一种情况与 TXT 记录有关。有时域名落后于 CF，但域名的真实 IP 可能用于 TXT 记录。CF-Hero 检查所有 TXT 记录，然后提取所有 IP 地址，最后尝试通过 HTTP 连接它找到的 IP。

假设我们有类似 DNS TXT 记录。如 TXT 记录所示，有 SPF 记录。有些公司可以托管自己的邮件服务器，TXT 记录可能包含指向目标域的 IP。

正如您在以下 DNS 答案中看到的，SPF 记录有一些 IP 地址。Cf-Hero 也会检查这些。

OSINT 是另一种查找任何落后于 CF 的域名的真实 IP 的技术。有许多专门用于特殊目的的搜索引擎。Shodan 和 Censys 就是其中两个。它们提供更多细节和技术信息。这些搜索引擎不断扫描整个互联网并发现新资产或监控和记录资产的变化。当一个不落后于 CF 的域名启动时，这些引擎的机器人可以记录该域名的真实 IP。一段时间后，如果该域名落后于 cloudflare，则可以使用这些搜索引擎找到它们的 IP。

CF-Hero 也会检查 censys 和 shodan。（请注意，当您使用这些服务时，您会受到 API 配额的限制。）

另一个技巧是（子）域名技术。实际上它不一定是子域名，也可以是域名。关键点在这里；域名应该属于同一家公司。

假设我们有 2 个域。其中一个在 CF 后面，而另一个不在。在这种情况下，您连接到不在 CF 后面的域，然后将主机标头更改为在 CF 后面的域。如果您收到在 CF 后面的应用程序的响应，那么恭喜您绕过了 CF。您可以直接从 IP 访问 Web 应用程序。（当然这也取决于配置）

让我们仔细看看

历史 DNS 记录服务会尝试发现互联网上的所有域并记录这些域的 DNS 记录中的更改。这些服务中最著名的是 securitytrails。如果某个域使用其真实 IP 地址在互联网上发布，则这些服务的机器人可以记录其真实 IP 地址，然后如果该域被 cloudflare 接管，则可以使用这些服务找出真实 IP 地址。因此，我们可以找到过去通过真实 IP 地址广播过的域的真实 IP 地址。

它使用安全跟踪服务来获取历史 DNS 记录。在 cf-hero.YAML 文件中输入 API 密钥后，您可以使用参数-securitytrails执行此扫描。

cf-hero 需要go1.18才能成功安装。运行以下命令进行安装。

最基本的运行命令。默认检查A记录和TXT记录。

或者您可以将“f”参数传递给它。

使用censys参数将 Shodan 纳入扫描

使用shodan参数将 Shodan 纳入扫描

使用securitytrails参数将 Shodan 纳入扫描

使用 -td 和 -dl 参数尝试利用不在 Cloudflare 后面的域或子域列表来查找目标域的 IP 地址。通过使用 -dl 参数在已识别目标云或本地基础设施使用的实时 IP 地址的块中指定 IP 地址，您可以找到目标域的真实 IP 地址

获取 CF 背后的域名

获取不落后于CF的域名

其他选项（自定义 ja3、代理、工作者、用户代理）

在 $HOME/.config/ 目录下创建 cf-hero.yaml 文件来设置 censys API 密钥

下载地址

来源：Web3软件开发一点号