F5 BIG-IP Cookie 信息泄露利用工具

工具 436 字 大概 2 分钟 2,026 次
F5 BIG-IP LTM 官方名称为本地流量管理器,也叫网络负载均衡器,是F5公司的新一代网络管理产品。BIG-IP LTM 可做4-7层负载均衡,具有负载均衡、应用交换、会话交换、包过滤等多种高级网络功能。

形成原理

当客户端向目标服务器发起请求时,会用到HTTP Cookie InsertHTTP Cookie Rewrite方法,这些Cookie方法会让客户端与服务器端保持有效,样式为BIGipServer<pool_name>,其中包含了客户端请求的,经过编码处理的目标服务器IP和端口信息。

Cookie编码规则

IP编码

1.将IP地址的每个八位字节值转换为等效的一字节十六进制值
2.将十六进制字节的顺序反向,然后连接成一个四字节的十六进制值
3.将生成的四字节十六进制值转换为其十进制等效值

Port编码

1.把十进制的端口值转换为等效的两字节十六进制值
2.反向两字节的十六进制顺序
3.将生成的两字节十六进制值转换为十进制等效值

Cookie解码思路

例子:BIGipServerPOOL_web=182354092.20480.0000

IP解码

1.把第一小节的十进制数取出来,得到 182354092
2.将其转为十六进制数 821414AC
3.从后至前,每两位取一组出来,得到 AC 14 14 82
4.依次把他们转为十进制数:172 20 20 130 最后,得到真实内网IP:172.20.20.130

Port解码

1.把第二小节的十进制数取出来,得到 20480
2.将其转为十六进制数 5000
3.从后至前,每两位取一组出来,得到 00 50
4.依次把他们转为十进制数:80 最后,得到真实内网Port:80

自动化利用工具

2021-02-08T11:18:33.png

 _ ___ __   ___ _     __
|_) | /__    | |_)   /   _  _  |  o  _    |   _  _  |  _
|_)_|_\_|   _|_|     \__(_)(_) |< | (/_   |__(/_(_| |<_>

@author:  K.Fire
@website: https://kfi.re

Usage of BIG-IP_Cookie_Leaks:
  -p string
        泄露的参数:BIGipServerPOOL_web
  -t int
        请求次数:次数越多,发现越全面 (default 50)
  -u string
        网址:http://vul.com
下载地址:https://file.kfi.re/s/gLUL 密码:z70opo
文章目录
END

本作品采用 知识共享署名-相同方式共享 4.0 国际许可协议 进行许可。

3 条感想

  1. 渣渣辉 游客 回复
    2021-09-22 16:28

    铁铁没有 Linux脚本嘛,用python写一个吧,呜呜呜

  2. nima 游客 回复
    2021-09-18 15:50

    好兄弟,exe报毒可太真实了

    1. K.Fire 博主 回复
      2021-09-20 22:43
      @nima

      不会吧,放微步看看 可能是因为加了upx的壳