漏洞环境&详细解析｜F5 BIG-IP RCE（CVE-2022-1388）

F5 BIG-IP本地流量管理器(LTM)可将网络转变为灵捷的应用交付基础架构。它是用户和应用服务器之间的全代理，它创建了一个提取层，用于确保应用流量的安全，并对应用流量进行优化和负载均衡。这样，您便可以全面控制您的网络，不但可以轻松添加服务器、消除业务中断、提高应用性能，还可以满足安全要求。简单的说是一个负载均衡器

负载均衡器是一种采用各种分配算法把网络请求分散到一个服务器集群中的可用服务器上去，通过管理进入的Web数据流量和增加有效的网络带宽，从而使网络访问者获得尽可能最佳的联网体验的硬件设备。

链接: https://pan.baidu.com/s/1qV73yu88VlQvsauT5rCYOg 提取码: 1anu

P.S. F5的漏洞利用一般不需要激活环境

下载的是ova镜像包，请使用vmware软件打开

P.S. 曾尝试转vhdx等格式，均无法成功运行

打开后，成功运行如下

初始用户名密码

root / default

第一次输入后，会强制让你修改密码，并且需要一定的密码强度，才可以

P.S. 修改密码前会让你输入当前unix的root密码，也输入default

设置完强密码后，登入成功

配置NAT

打开VMWare网络设置

新建一个支持NAT的网络

设置当前打开的虚拟机的网络为刚才新建的网络

四个网卡都需要配置

重启虚拟机

ifconfig查看mgmt网卡的ip地址，检查是否有inet字段，如果有，是不是在你刚才设置的网段（如，我的是192.168.49.0段）

如图，上述检查未通过，则需要手动分配一个IP

ifconfig mgmt 192.168.49.128

设置成功

Poc网络已疯传

主要是利用了HTTP 的 hop-by-hop 滥用漏洞

hop by hop

单个传输，也就是两个节点的传输（端--路由器，路由器--路由器，路由器--端）

hop by hop 头

hop by hop 头，是一种特殊的header字段，这类header不会进行缓存，也不会被代理转发（可以理解为删除掉了这些字段后，把请求包转发给后端）

目前有这些标准的 header属于hop by hop

ConnectionKeep-AliveProxy-AuthenticateProxy-AuthorizationTETrailersTransfer-EncodingUpgrade

除此之外，还可以自定义一些hop by hop头，看下面的例子。

Connection: close, X-Foo, X-Bar

X-Foo, X-Bar就是我们自定义的hbh头，代理转发时，会将这些头删除

P.S. 只能在Connection字段中定义

附RFC

hph头滥用

hph头是正常的http传输规定，但是一旦被滥用，会导致很多安全问题。

假设Proxy2是安全检查代理，从Proxy1传输过来的请求中有X-Important-Header，通过了安全检查，并转发给后端。由于请求中的hbh头滥用，导致X-Important-Header在Proxy2中被删除了，转发给后端的请求包中无此字段。假设后端检查逻辑为如果没有这个字段，就认为认证通过，即可造成权限认证绕过漏洞。

可能有人说，这种情况也太巧了，F5 BigIP RCE（CVE-2022-1388）基本就是这个原理导致的。

其他滥用场景

● 删除X-Forwared-For，来隐藏IP

● 删除访问指纹信息

● 缓存中毒DOS

● ......