F5 BIG-IP Cookie 信息泄露利用工具

文章源自【字节脉搏社区】-字节脉搏实验室

作者-K.Fire

F5 BIG-IP LTM 官方名称为本地流量管理器，也叫网络负载均衡器，是F5公司的新一代网络管理产品。BIG-IP LTM 可做4-7层负载均衡，具有负载均衡、应用交换、会话交换、包过滤等多种高级网络功能。

形成原理

当客户端向目标服务器发起请求时，会用到HTTP CookieInsert或HTTP Cookie Rewrite方法，这些Cookie方法会让客户端与服务器端保持有效，样式为BIGipServer<pool_name>，其中包含了客户端请求的，经过编码处理的目标服务器IP和端口信息。

Cookie编码规则

IP编码

1.将IP地址的每个八位字节值转换为等效的一字节十六进制值

2.将十六进制字节的顺序反向，然后连接成一个四字节的十六进制值

3.将生成的四字节十六进制值转换为其十进制等效值

Port编码

1.把十进制的端口值转换为等效的两字节十六进制值 2.反向两字节的十六进制顺序 3.将生成的两字节十六进制值转换为十进制等效值

Cookie解码思路

例子：BIGipServerPOOL_web=182354092.20480.0000

IP解码

1.把第一小节的十进制数取出来，得到 182354092 2.将其转为十六进制数 821414AC 3.从后至前，每两位取一组出来，得到 AC 14 14 82 4.依次把他们转为十进制数：172 20 20 130 最后，得到真实内网IP：172.20.20.130

Port解码

1.把第二小节的十进制数取出来，得到 20480 2.将其转为十六进制数 5000 3.从后至前，每两位取一组出来，得到 00 50 4.依次把他们转为十进制数：80 最后，得到真实内网Port：80

自动化利用工具

下载地址：https://file.kfi.re/s/gLUL

密码：z70opo