渗透测试过程中,经常会遇到目标服务器使用F5 LTM做负载均衡。 如果能获取到目标服务器的真实IP地址,会给后续渗透带来一定便利。
本文既是最近渗透遇到的一点点经验分享。
F5 LTM做负载均衡时,有多种机制实现会话保持。 其中用到很多的一种是通过修改cookie来实现的。
具体说来,F5在获取到客户端第一次请求时,会使用set cookie头,给客户端埋入一个特定的cookie。
比如: Set-Cookie: BIGipServerpool_8.29_8030=487098378.24095.0000
后续再接到客户端请求时,F5会查看cookie里面的字段,判断应该交给后续哪台服务器。
作为传统大厂,F5当然不会傻到直接把服务器IP address写入到cookie里面。 F5很巧妙的把server的真实IP address做了两次编码,然后再插入cookie。
所以,只要依据解码流畅,解开487098378.24095.0000的内容,就拿到了server的真实IP address。
首先,把第一小节的十进制数取出来,也即,487098378 第二,将其转为十六进制数1d08880a 第三,从后至前,以此取四位数出来,也即,0a;88;08;1d; 第四,依次把他们转为十进制数:10;136;8;29 最后,得到真实内网IP:10.136.8.29
严格意义上说,只有内网的私有IP,对正面突破目标防线的帮助并不明显。 但是,当需要做内网渗透和漫游的时候,这一点信息还是有价值的。 再不济,写report的时候,如果实在没的可写的时候,还可以拿这点作为一个issue作为丰富report的素材。
#https://www.secpulse.com/archives/58730.html
给一个比较好用的py版本,可以带端口的。
#!/usr/bin/python
# example string: 110536896.20480.0000
import struct
import sys
if len(sys.argv) != 2:
print "Usage: %s encoded_string" % sys.argv[0]
exit(1)
encoded_string = sys.argv[1]
print "\n[*] String to decode: %s\n" % encoded_string
(host, port, end) = encoded_string.split('.')
(a, b, c, d) = [ord(i) for i in struct.pack("<I", int(host))]
(e) = [ord(e) for e in struct.pack("<H", int(port))]
port = "0x%02X%02X" % (e[0],e[1])
print "[*] Decoded Host and Port: %s.%s.%s.%s:%s\n" % (a,b,c,d, int(port,16))
【 来源:ThreatHunter社区 透过F5获取服务器真实内网IP 作者 hblf 安全脉搏整理编辑发布】
本文作者:SP小编
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/58730.html
必填 您当前尚未登录。 登录? 注册
必填(保密)ThreatHunter社区:首先贴一下一个类似老文 https://penturalabs.wordpress.com/2011/03/29/how-to-decode-big-ip-f5-persistence-cookie-values/;
获取了内网IP后的攻击场景很多:
1)SSRF配合攻击内网的同段IP
2)通过设置COOKIES来指定负载会话