目前企業的網路架構中，為了應用的安全和高可用，極少會直接讓真實IP暴露在公網上，一步步提高了攻擊方的門檻，那從攻擊隊的視角看，如何可以在這樣的情況下去發現目標網站/應用的真實IP呢。

上圖為常見的會隱藏真實ip的業務防護模式，沒有通過網際網路面向C端使用者提供服務的業務甚至都不會使用CDN，抗D產品。以下內容為本人整理的獲取目標真實IP的方法，部分方式可能不奏效需要根據實際情況測試。

1 利用多地節點ping目標站

利用全國甚至全球不同地區的ip去ping目標網站，如果部分地區沒有被覆蓋則可能被暴露
http://ping.chinaz.com/

2 嘗試向目標郵箱傳送郵件

如目前域名存在郵箱系統，可嘗試向任意一個不存在的郵箱賬號發郵件，觸發其報錯，通常在報錯資訊裡會有提示。

3 漏洞利用

利用漏洞getshell或者執行命令，反彈shell都可以獲取到對方真實IP
如反彈shell主動連線來顯示的IP，命令執行直接查詢即可如
curl ip.sb

4 查詢歷史解析記錄

經測試分析目標域名發現使用某waf，但是沒使用waf之前是否有直接解析源站的情況，可以嘗試下。

5 掃描子域名

二級域名非常多，不一定所有的域名都被加入了防護，可嘗試掃描子域名然後分析有沒有沒走cdn的，只要有線索開啟突破口就好辦
掃描子域名的工具很多，常用的有:

subdomain指令碼  https://github.com/lijiejie/subDomainsBrute
線上獲取子域名 http://crt.sh/
 

6 使用系統命令nslookup

如果返回單一結果則為真實iP
如果返回多個IP，則使用了CDN這類產品

7 掃全網IP

掃描全網IP併入庫，後續在elasticsearch之類的庫中查詢指定域名的資訊即可，如*.abc.com