渗透测试中，如何绕过烦人的cloudflare

原创

星尘安全

发布于 2025-04-08 09:56:12

8360

Cloudflare作为全球领先的网络安全和性能优化服务提供商，其防护机制（如WAF、DDoS防护、Bot管理等）常成为渗透测试中的一大障碍，本文从实战角度出发，针对Cloudflare的防护体系，分享几个绕过cloudflare的小Tips。

一、Cloudflare的核心防护机制

Cloudflare通过多层防护体系拦截恶意流量，主要包括：

1.WAF（Web应用防火墙）

基于OWASP CRS规则集，拦截SQL注入、XSS等常见攻击

2.Bot防护

通过JavaScript验证、Cookie追踪、User-Agent检测等手段识别自动化流量

3.IP信誉系统

封锁高风险IP（如Tor节点），并基于速率限制防御DDoS攻击

4.边缘计算验证

利用Workers脚本执行客户端验证，例如验证码或JS挑战

二、绕过Cloudflare的关键技术

1. 请求头与流量特征伪装

案例：通过自建Cloudflare Worker代理，注入自定义Header（如CF-Connecting-IP和X-Forwarded-For），将恶意流量伪装为来自Cloudflare信任的IP段，绕过地理封锁和速率限制

2. 命令注入的语法混淆

Cloudflare的WAF依赖正则表达式匹配攻击特征，通过语法变形可绕过检测：

未初始化变量插入：在命令中插入未初始化的Bash变量（如catu/etcu/passwdu），利用Bash将其解析为空字符串，绕过关键字过滤
字符编码与分割：使用URL编码、Unicode或换行符（%0A）分割恶意语句。例如将cat /etc/passwd改写为cat${\u0065tc}/passwd
注释干扰：插入无害注释扰乱正则匹配，例如在SQL注入中使用/*!UnIon*/ selecT混合大小写和注释

案例：在RCE漏洞利用中，通过;catu/etcu/passwdu绕过Cloudflare对cat /etc/passwd的拦截，成功读取系统文件

3. SQL注入的混淆技术

内联注释与语法变形：利用数据库特性绕过规则，例如MySQL中/*!50000UNION*/ SELECT强制版本执行
分块传输编码：通过分块传输（Chunked Encoding）分割注入语句，规避WAF的完整请求体检测
多重编码混淆：对注入语句进行多层URL或Base64编码，例如将UNION SELECT转换为%55%4E%49%4F%4E%20%53%45%4C%45%43%54

案例：在目标网站的SQL注入点，使用'/*!UnIon/*trick*/*/ sElect 1,2,3绕过WAF检测，成功提取数据库表名

4. 反向代理与边缘节点利用

案例：搭建Worker代理转发请求至目标站点，注入CF-WORKER头伪装为合法流量，绕过Bot验证机制

5. 自动化工具与框架

6. 基于协议漏洞的IP泄露

邮件服务器关联分析：通过目标网站的邮件服务（如密码重置、订阅邮件）提取邮件头中的Return-Path或Received字段，直接获取未受Cloudflare保护的邮件服务器IP。例如，某电商平台密码重置邮件的Received: from mail.example.com (192.168.1.100)泄露了源服务器IP。
XML-RPC广播利用：针对WordPress等平台，利用XML-RPC的pingback功能构造请求，通过sourceUri参数诱导服务器回连至渗透测试人员控制的服务器，从日志中提取源IP
SSRF漏洞获取元数据：若目标存在SSRF漏洞，可构造请求访问http://169.254.169.254/latest/meta-data/public-ipv4（AWS元数据接口）或/etc/hosts文件，直接获取真实IP

原创声明：本文系作者授权腾讯云开发者社区发表，未经许可，不得转载。

如有侵权，请联系 cloudcommunity@tencent.com 删除。