透過F5獲取伺服器真實內網IP

滲透測試過程中，經常會遇到目標伺服器使用F5 LTM做負載均衡。

如果能獲取到目標伺服器的真實IP地址，會給後續滲透帶來一定便利。

本文既是最近滲透遇到的一點點經驗分享。

F5修改cookie機制

F5 LTM做負載均衡時，有多種機制實現會話保持。

其中用到很多的一種是通過修改cookie來實現的。

具體說來，F5在獲取到客戶端第一次請求時，會使用set cookie頭，給客戶端埋入一個特定的cookie。

比如：

後續再接到客戶端請求時，F5會查看cookie裡面的欄位，判斷應該交給後續哪台伺服器。

作為傳統大廠，F5當然不會傻到直接把伺服器IP address寫入到cookie裡面。

F5很巧妙的把server的真實IP address做了兩次編碼，然後再插入cookie。

解碼思路

第二，將其轉為十六進位數1d08880a

第三，從後至前，以此取四位數出來，也即，0a；88；08；1d；

第四，依次把他們轉為十進位數：10；136；8；29

最後，得到真實內網IP：10.136.8.29

總結

嚴格意義上說，只有內網的私有IP，對正面突破目標防線的幫助並不明顯。

但是，當需要做內網滲透和漫遊的時候，這一點信息還是有價值的。

再不濟，寫report的時候，如果實在沒的可寫的時候，還可以拿這點作為一個issue作為豐富report的素材。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！