原理概述
当F5采用cookie会话保持的方式进行应用分发时,会在请求中插入一条自己的cookie,用于判断分发到后端的哪台应用。当下次再次处理时,如果看到请求中带有自己插入的cookie,会按该cookie中包含的IP进行转发,进而保证用户能够分发到同一台应用。
在渗透测试当中,如果遇到数据包cookies中带有如下的字段值,那么可以从中获取到服务器内网真实ip。
BIGipServerapp-enterprise-ebank-pool=2588125376.31523.0000
F5中的cookies格式如下:
BIGipServer <pool name> = <编码服务器IP>.<编码服务器端口> .0000
从中我们可以得知一下信息:
BIGipServer - 我们现在知道服务器在F5 BigIP设备后面。
<pool name> - F5上配置的池名称。
<编码服务器IP> - 进行编码的服务器的真实IP。
<编码服务器端口> - 进行编码的服务器的真实端口。
算法分析
下面我们来还原一下这个算法:
拿出值:2588125376
第一步:将该10进制值转换为16进制(得到一个8位的值,如果不够8位,前面补0)
9a43a8c0
第二步:将这个8位的值分为四段
9a 43 a8 c0
第三步:dao'zhi顺序将每段数字分别转换成10进制,分别得到4个数字
c0 → 192
a8 → 168
43 → 67
9a → 154
第四步:得到服务器真实内网ip:192.168.67.154
下面给出解密脚本
import struct
import sys
def decode(cookie_value):
(host, port, end) = cookie_value.split('.')
(a, b, c, d) = [ord(i) for i in struct.pack("<I", int(host))]
p = [ord(i) for i in struct.pack("<I", int(port))]
port = p[0]*256 + p[1]
print "%s.%s.%s.%s:%s" % (a,b,c,d,port)
if len(sys.argv) != 3:
print "Usage: %s input_type encoded_string" % sys.argv[0]
print "-c cookie value"
print "-f File Name containing cookie values on each linen"
print "ex. %s -c 487098378.24095.0000" % sys.argv[0]
print "ex. %s -f file.txt" % sys.argv[0]
exit(1)
if sys.argv[1] == "-c":
cookie_text = sys.argv[2]
decode(cookie_text)
if sys.argv[1] == "-f":
file_name = sys.argv[2]
with open(file_name,"r") as f:
for x in f:
x = x.rstrip()
if not x: continue
decode(x)
应用价值
得到服务器内网ip,可配合ssrf扩大战果;也可以构造特定的cookie来设置访问特定的服务器,上传shell遇到负载均衡不知道上传到哪个服务器时,就可以利用了。
解决方案
在F5设备中,设置cookie加密方法。
在创建新HTTP配置文件部分中设置
返回到服务器中应用创建的自定义HTTP配置文件
做好以上设置后,再来查看数据包中的cookie已使用AES加密,并使用base64进行了编码。
参考:http://packetpushers.net/encrypted-cookie-persistence/http://showing.blog.51cto.com/11976328/1841564