Set-Cookie: BIGipServerpool泄露内网IP

Set-Cookie: BIGipServerpool泄露内网IP

参考文章:https://blog.csdn.net/shayebudon/article/details/125171369

一、实验原理

F5 BIG-IP 负载均衡设备为实现会话保持(持久化),默认采用 Cookie Insert 模式:用户首次访问网站时,负载均衡器会通过 Set-Cookie 响应头向客户端下发 BIGipServerpool_xxx 格式 Cookie;客户端后续请求会携带该 Cookie,设备读取其中编码信息,将流量固定转发到同一台后端内网服务器,保证会话连贯。

二、漏洞产生核心原理

  1. Cookie 仅做简易字节反转混淆,无加密保护
    默认配置下,Cookie 内容仅对内网 IPv4 地址、后端服务端口进行十进制与十六进制转换 + 字节倒序处理,未使用 AES 等加密算法、无密钥加盐,属于可逆的简单编码而非加密,攻击者可完全逆向还原内网地址。

  2. 内网敏感信息直接下发至公网客户端
    包含后端内网 IP、业务端口的编码字符串会明文放在 HTTP 响应头返回浏览器,任何普通访问者仅抓包即可获取 Cookie 内容,内网资产信息直接外泄。

  3. 出厂默认配置不安全
    早期 BIG-IP 固件默认关闭 Cookie 加密功能,多数管理员未手动修改持久化配置,导致该信息泄露问题广泛存在。

三、Cookie 编码与逆向解码算法原理

Cookie 格式固定为:BIGipServerpool_集群名=编码IP.编码端口.0000
三段分别为编码内网 IP、编码端口、固定路由域占位符 0000。

1. 内网 IP 编码 / 解码逻辑

编码流程:内网 IP 四段十进制 → 每段转两位十六进制 → 四组字节反转顺序 → 拼接为 8 位十六进制 → 转为大十进制存入 Cookie。
解码流程:
① 取出第一段十进制数字,转换为 8 位完整十六进制;
② 按每 2 字符拆分为 4 个单字节;
③ 颠倒 4 个字节的排列顺序;
④ 每个字节转回十进制,用.拼接得到原始内网 IP。

2. 后端端口编码 / 解码逻辑

编码流程:端口十进制 → 4 位十六进制,前后两字节反转 → 转为十进制存入 Cookie。
解码流程:
① 取出第二段十进制数字转为 4 位十六进制;
② 拆分前后两个字节并颠倒顺序;
③ 合并字节转为十进制,得到真实业务端口。

四、漏洞危害原理

  1. 内网资产测绘:攻击者批量解码 Cookie,收集内网网段、服务器数量、开放业务端口,完成内网资产摸底;

  2. 突破网络边界:绕过公网负载均衡层,直接针对解码得到的内网 IP 发起端口扫描、漏洞利用;

  3. 支撑内网横向渗透:获取内网网段后可规划渗透路径,对内网业务、数据库、中间件发起攻击;

  4. 合规风险:该漏洞属于等保、渗透测试标准中的高危信息泄露漏洞,会造成内网拓扑敏感数据外泄。

二、实验步骤

1.通过搜索引擎进行搜索关键字:Set-Cookie: BIGipServerpool

屏幕截图 2026-06-30 213729

2、这里我们对搜索到的内容进行筛选

得到了3148523712.24362.0000值,取出第一段的值3148523712,转换为16进制得到bbaaa8c0,在倒叙以两个为单位去取即c0.a8.aa.bb,依次将c0、a8、aa、bb转换为10进制结果为192.168.170.187,这样就获取到内网IP

posted @ 2026-06-30 22:04  新手打怪兽  阅读(4)  评论(0)    收藏  举报