Menemukan IP dibalik Cloudflare dan Bypass WAF by CloudFlare

Beberapa bulan yang lalu saya dihubungi oleh salah satu manager bank BUMN dan mereka meminta bantuan yang berhubungan dengan “illegal activity“. Mereka meminta saya untuk sekedar menitipkan pesan di salah satu website. Ini adalah pesan yang tersembunyi dan hanya untuk memberi tau Administrator atau pemilik website tersebut.
Kemudian “pesanan” ini saya kerjakan dengan seorang teman. Jadi goal-nya adalah “memberikan pesan” kepada pemilik website tersebut. Yang harus dilakukan adalah melakukan penetration testing untuk menemukan celah yang ada. Proses pertama yang dilakukan adalah gathering Information.

Gathering Information

Ini adalah proses pertama yang harus dilakukan. Pertama kali yang saya dan teman saya lakukan adalah mencari tau CMS apa yang digunakan website tersebut dan list subdomain yang aktif dan bisa diakses. Karena domain utamanya hanyalah sebuah website yang menggunakan blogger, kemudian kami menemukan 1 buah subdomain yang menggunakan suatu CMS yang familiar dan kelihatannya tak lagi ter-urus.
Untuk mulai melakukan scanning, hal pertama kali yang harus kami lakukan adalah menemukan “Real IP” server yang digunakan. Saat itu website ini menggunakan cloudflare dan juga sudah mengaktifkan CloudFlare WAF (Web application firewall). Jadi otomatis untuk setiap request akan melewati Cloudflare terlebih dahulu.

Mencari tau IP sesungguhnya yang digunakan

Untuk mencari tau IP sesunggunya yang digunakan kita bisa menggunakan “dns record history“. Tool ini nantinya akan memberikan kita daftar dns yang pernah digunakan oleh suatu domain. Untuk mencari tau dns historical data bisa menggunakan https://securitytrails.com/.

Itu adalah contoh IP sesungguhnya yang digunakan oleh Bukan Coder bisa diketahui dari dns historical data atau dns record history103.200.4.11 adalah IP sesungguhnya yang digunakan oleh Bukan Coder, dan ketika diakses, gotchaaa

Bypass CloudFlare WAF

Karena disini kita sudah mengetahui IP sesungguhnya yang digunakan maka kita bisa langsung mengganti Hosts File, agar setiap request langsung ke IP tersebut, tidak lagi melewati Cloudflare
Lokasi Hosts File :
Pengguna Windows : c:\windows\system32\drivers\etc\hosts
Pengguna Linux : /etc/hosts
Karena ketika menulis artikel ini saya sedang menggunakan Windows, maka berikut cara untuk mengganti file hosts di Windows. Klik menu start – Ketik Run dan paste text berikut ini


 
Kemudian tambahkan line IP dan website yang ingin di bypass. Maka hasilnya akan seperti ini

Percobaan untuk memastikan cara ini efektif atau tidak

Sebelum melakukan percobaan ini saya akan mengembalikan file hosts seperti semula, dan ketika melakukan request hasilnya akan seperti ini :

Setelah itu saya akan kembali mengganti file hosts agar setiap request langsung ke IP sesungguhnya yang berada dibalik CloudFlare. Berikut hasilnya

Jadi untuk sekedar melewati WAF dari CloudFlare bukanlah sesuatu yang sulit jika kita sudah mengetahui IP sesungguhnya yang digunakan oleh suatu website. Jadi bisa disimpulkan juga jika menggunakan 1 WAF masih belum cukup jika hanya mengandalkan CloudFlare.
Sekian dari saya dan semoga bermanfaat.
Terima kasih
Salam,
Teguh Aprianto

6 Comments

Add a Comment