cloud flare 真不错（常规思路）

同事提了句分块传输，想起以前有看到过一篇利用分块传输过sql注入waf的文章唯快不破的分块传输绕WAF - FreeBuf网络安全行业门户，不知道这里行不行，我这里直接用burp插件转换，工具地址：https://GitHub.com/c0ny1/chunked-coding-converter

但结果还是不行。

还得是你啊 real ip

最后没有办法，只能去试试能不能找到真实IP（之所以一开始不去找，是因为这个比较花时间，而且现在很多目标都是一上来直接就挂了cdn，以前网传的一些什么证书查找啥的基本没搞了，还有些多地ping，邮箱服务，子域啥的，反正我是没成功过）。

回到目标，要找真实ip，既然php代码过不了，那么其他的能不能过呢，简单试了些xss、xml代码，不出所料，这些明显危害的代码过不了，思考下，既然现在要ip，想起这篇文章奇安信攻防社区-文件导出功能的SSRF (butian.net)

，文章中有个点是利用了svg构造了一个ssrf，那么我这里依葫芦画瓢，看看能不能通过ssrf把目标服务器ip带出来，文章中环境是因为文章导出功能出了问题，而我这里是附件上传，试了一下jpg和其他图片格式都不行，但是我可以控制php后缀，而php是能解析html之类的代码的，所以直接构造一个ssrf的请求

IP过来了，和浏览器插件爬到的IP不同，以为找到了，结果同事看着这个ip不对劲，查了一下，发现也是cloud flare，寄，nnd，出口流量也是cloud flare。

折磨了一天，下班前想着，算了都磨了这么久了，就再用常规信息搜集方式找找ip吧。

经过了一系列的dns历史记录查找，翻看目标网页源码，提取搜索关键字，然后一直组合命令用搜索引擎搜，倒是找到了一些IP，但是不能太确定关系，然后想到了这篇文章host碰撞 - FreeBuf网络安全行业门户，因为IP不是很多，所以没用工具，直接burp重放修改，然后运气不错，真的给我逮到了，upload之后变成了302，不再是cloud flare了，寄！

最后上shell，清理痕迹，藏后门，可惜是个workgroup，没几台机子，算了，下班！

来源地址：https://blog.csdn.net/qq_44700119/article/details/129326835