乌云真实IP寻找尝试

0x00 想法

一开始是想到ip段的使用都要向某组织申请,于是就在想是否会把这些申请的ip段公布出来,于是了解到apnic组织。http://blog.sina.com.cn/s/blog_495161310100js5t.html
根据上面博客链接,成功整理出一个CN地区的IP申请列表chinaip

0x01 环境准备

安装zmap

参考https://www.hundan.org/install-kali-tool-in-ubuntu.html ,替换更新源,然后

1
aptitude install zmap

即可安装zmap

安装 zgrab

参考https://www.t00ls.net/thread-40631-1-1.html 安装Zgrab
国内服务器安装Zgrab时可能会出现由于golang.org无法访问导致安装无法顺利进行的问,我是在另一台服务器里开启了shadowsocks的服务,然后用socat将http代理转发出来,go get使用该http代理,成功搭建。
转发见https://www.hundan.org/socat-nc-plus-plus.html (lcx等同样可以,个人喜好),go get使用代理:http_proxy=127.0.0.1:8087 go get,国外机房可直接访问golang.org,无需翻那啥。

socat转发

socat tcp-l:9999,reuseaddr,fork tcp:127.0.0.1:1080

国外机房(或者国内可访问golang.org的服务器)
1
2
3
4
5
6
7
wget https://storage.googleapis.com/golang/go1.8.1.linux-amd64.tar.gz
tar -C /usr/local -xzf go1.8.1.linux-amd64.tar.gz
export PATH=$PATH:/usr/local/go/bin
export GOPATH=/usr/local/go/bin/
go get github.com/zmap/zgrab
cd $GOPATH/src/github.com/zmap/zgrab
go build
国内机房

自行更改第5行

1
2
3
4
5
6
7
wget https://storage.googleapis.com/golang/go1.8.1.linux-amd64.tar.gz
tar -C /usr/local -xzf go1.8.1.linux-amd64.tar.gz
export PATH=$PATH:/usr/local/go/bin
export GOPATH=/usr/local/go/bin/
http_proxy=1.1.1.1:9999 go get github.com/zmap/zgrab
cd $GOPATH/src/github.com/zmap/zgrab
go build

0x02 执行

国内发布的文章操作大多基于最初乌云社区的那篇文章,都是先使用zmap获取到ip,保存至文件,然后使用cat命令读取,zgrab从ip文件内爬取,实际上zgrab的readme文件提供了一个实时爬取的方法,见https://github.com/zmap/zgrab
由于服务器带宽只有1M,为了尽量减少丢包问题,调整ZMap带宽为500K,ZGrab并发数为500。
由此则不向硬盘写入太多东西,直接在屏幕输出,然后用grep匹配,写入到wooyun.json 。
过两天连上去看看情况。

1
zmap -w chinaip.txt -p 80 -B 500K -q --output-fields=* | ztee results.csv | ./zgrab --port 80 -http-user-agent="Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.95 Safari/537.36" -timeout=30 -senders=500 -data="./http-req" | grep "http://www.wooyun.org/notice.png" > wooyun.json

一周后。
由于对linux不熟悉,用xshell下回了wooyun.json,用notepad++处理。

产生7164条记录。
正则删去带有”yunjiasu”的行,还剩下1036行。

删去带有”ADSSERVER”的行,剩下149行。
再筛检出cloudflare的标志、部分奇怪的网站、运行环境(nginx)等,最终筛选出来的结果是

xxx.xxx.xxx.xxx

(好吧我筛选过了,并没有得到乌云ip)

参考资料

https://www.t00ls.net/thread-40631-1-1.html
http://blog.csdn.net/newjueqi/article/details/49996141
https://github.com/zmap/zgrab

附录

chinaip
wooyun.json未筛选