Set-Cookie: BIGipServerpool泄露内网IP
Set-Cookie: BIGipServerpool泄露内网IP
参考文章:https://blog.csdn.net/shayebudon/article/details/125171369
一、实验原理
一、F5 BIG-IP Cookie 会话保持机制基础
F5 BIG-IP 负载均衡设备为实现会话保持(持久化),默认采用 Cookie Insert 模式:用户首次访问网站时,负载均衡器会通过 Set-Cookie 响应头向客户端下发 BIGipServerpool_xxx 格式 Cookie;客户端后续请求会携带该 Cookie,设备读取其中编码信息,将流量固定转发到同一台后端内网服务器,保证会话连贯。
二、漏洞产生核心原理
-
Cookie 仅做简易字节反转混淆,无加密保护
默认配置下,Cookie 内容仅对内网 IPv4 地址、后端服务端口进行十进制与十六进制转换 + 字节倒序处理,未使用 AES 等加密算法、无密钥加盐,属于可逆的简单编码而非加密,攻击者可完全逆向还原内网地址。 -
内网敏感信息直接下发至公网客户端
包含后端内网 IP、业务端口的编码字符串会明文放在 HTTP 响应头返回浏览器,任何普通访问者仅抓包即可获取 Cookie 内容,内网资产信息直接外泄。 -
出厂默认配置不安全
早期 BIG-IP 固件默认关闭 Cookie 加密功能,多数管理员未手动修改持久化配置,导致该信息泄露问题广泛存在。
三、Cookie 编码与逆向解码算法原理
Cookie 格式固定为:BIGipServerpool_集群名=编码IP.编码端口.0000
三段分别为编码内网 IP、编码端口、固定路由域占位符 0000。
1. 内网 IP 编码 / 解码逻辑
编码流程:内网 IP 四段十进制 → 每段转两位十六进制 → 四组字节反转顺序 → 拼接为 8 位十六进制 → 转为大十进制存入 Cookie。
解码流程:
① 取出第一段十进制数字,转换为 8 位完整十六进制;
② 按每 2 字符拆分为 4 个单字节;
③ 颠倒 4 个字节的排列顺序;
④ 每个字节转回十进制,用.拼接得到原始内网 IP。
2. 后端端口编码 / 解码逻辑
编码流程:端口十进制 → 4 位十六进制,前后两字节反转 → 转为十进制存入 Cookie。
解码流程:
① 取出第二段十进制数字转为 4 位十六进制;
② 拆分前后两个字节并颠倒顺序;
③ 合并字节转为十进制,得到真实业务端口。
四、漏洞危害原理
-
内网资产测绘:攻击者批量解码 Cookie,收集内网网段、服务器数量、开放业务端口,完成内网资产摸底;
-
突破网络边界:绕过公网负载均衡层,直接针对解码得到的内网 IP 发起端口扫描、漏洞利用;
-
支撑内网横向渗透:获取内网网段后可规划渗透路径,对内网业务、数据库、中间件发起攻击;
-
合规风险:该漏洞属于等保、渗透测试标准中的高危信息泄露漏洞,会造成内网拓扑敏感数据外泄。
二、实验步骤
1.通过搜索引擎进行搜索关键字:Set-Cookie: BIGipServerpool

2、这里我们对搜索到的内容进行筛选
得到了3148523712.24362.0000值,取出第一段的值3148523712,转换为16进制得到bbaaa8c0,在倒叙以两个为单位去取即c0.a8.aa.bb,依次将c0、a8、aa、bb转换为10进制结果为192.168.170.187,这样就获取到内网IP

浙公网安备 33010602011771号