漏洞环境&详细解析|F5 BIG-IP RCE(CVE-2022-1388)

admin 2022年5月17日04:27:28评论549 views字数 1732阅读5分46秒阅读模式
漏洞环境&详细解析|F5 BIG-IP RCE(CVE-2022-1388)
点击蓝字·关注我们
漏洞环境&详细解析|F5 BIG-IP RCE(CVE-2022-1388)
全文 1204 字,预计阅读时间 3 分钟
漏洞环境&详细解析|F5 BIG-IP RCE(CVE-2022-1388)

F5 BigIP

F5 BIG-IP本地流量管理器(LTM)可将网络转变为灵捷的应用交付基础架构。它是用户和应用服务器之间的全代理,它创建了一个提取层,用于确保应用流量的安全,并对应用流量进行优化和负载均衡。这样,您便可以全面控制您的网络,不但可以轻松添加服务器、消除业务中断、提高应用性能,还可以满足安全要求。简单的说是一个负载均衡器


负载均衡器是一种采用各种分配算法把网络请求分散到一个服务器集群中的可用服务器上去,通过管理进入的Web数据流量和增加有效的网络带宽,从而使网络访问者获得尽可能最佳的联网体验的硬件设备。

漏洞环境&详细解析|F5 BIG-IP RCE(CVE-2022-1388)
漏洞环境&详细解析|F5 BIG-IP RCE(CVE-2022-1388)

环境搭建
链接: https://pan.baidu.com/s/1qV73yu88VlQvsauT5rCYOg 提取码: 1anu

P.S. F5的漏洞利用一般不需要激活环境


下载的是ova镜像包,请使用vmware软件打开

P.S. 曾尝试转vhdx等格式,均无法成功运行


打开后,成功运行如下

漏洞环境&详细解析|F5 BIG-IP RCE(CVE-2022-1388)


初始用户名密码

root / default

第一次输入后,会强制让你修改密码,并且需要一定的密码强度,才可以

P.S. 修改密码前会让你输入当前unix的root密码,也输入default


设置完强密码后,登入成功

漏洞环境&详细解析|F5 BIG-IP RCE(CVE-2022-1388)

漏洞环境&详细解析|F5 BIG-IP RCE(CVE-2022-1388)
漏洞环境&详细解析|F5 BIG-IP RCE(CVE-2022-1388)

配置网络环境

配置NAT


打开VMWare网络设置

漏洞环境&详细解析|F5 BIG-IP RCE(CVE-2022-1388)


新建一个支持NAT的网络

漏洞环境&详细解析|F5 BIG-IP RCE(CVE-2022-1388)

设置当前打开的虚拟机的网络为刚才新建的网络

漏洞环境&详细解析|F5 BIG-IP RCE(CVE-2022-1388)


漏洞环境&详细解析|F5 BIG-IP RCE(CVE-2022-1388)

四个网卡都需要配置

漏洞环境&详细解析|F5 BIG-IP RCE(CVE-2022-1388)

重启虚拟机


ifconfig查看mgmt网卡的ip地址,检查是否有inet字段,如果有,是不是在你刚才设置的网段(如,我的是192.168.49.0段)

漏洞环境&详细解析|F5 BIG-IP RCE(CVE-2022-1388)


如图,上述检查未通过,则需要手动分配一个IP

ifconfig mgmt 192.168.49.128

漏洞环境&详细解析|F5 BIG-IP RCE(CVE-2022-1388)


设置成功

漏洞环境&详细解析|F5 BIG-IP RCE(CVE-2022-1388)


漏洞环境&详细解析|F5 BIG-IP RCE(CVE-2022-1388)
漏洞环境&详细解析|F5 BIG-IP RCE(CVE-2022-1388)

漏洞复现

Poc网络已疯传

漏洞环境&详细解析|F5 BIG-IP RCE(CVE-2022-1388)

漏洞环境&详细解析|F5 BIG-IP RCE(CVE-2022-1388)
漏洞环境&详细解析|F5 BIG-IP RCE(CVE-2022-1388)

漏洞简析

主要是利用了HTTP 的 hop-by-hop 滥用漏洞


hop by hop

单个传输,也就是两个节点的传输(端--路由器路由器--路由器,路由器--端)


hop by hop 头

hop by hop 头,是一种特殊的header字段,这类header不会进行缓存,也不会被代理转发(可以理解为删除掉了这些字段后,把请求包转发给后端)


目前有这些标准的 header属于hop by hop

ConnectionKeep-AliveProxy-AuthenticateProxy-AuthorizationTETrailersTransfer-EncodingUpgrade


除此之外,还可以自定义一些hop by hop头,看下面的例子。

Connection: close, X-Foo, X-Bar


X-Foo, X-Bar就是我们自定义的hbh头,代理转发时,会将这些头删除

P.S. 只能在Connection字段中定义


附RFC

漏洞环境&详细解析|F5 BIG-IP RCE(CVE-2022-1388)


hph头滥用

hph头是正常的http传输规定,但是一旦被滥用,会导致很多安全问题。

漏洞环境&详细解析|F5 BIG-IP RCE(CVE-2022-1388)

假设Proxy2是安全检查代理,从Proxy1传输过来的请求中有X-Important-Header,通过了安全检查,并转发给后端。由于请求中的hbh头滥用,导致X-Important-Header在Proxy2中被删除了,转发给后端的请求包中无此字段。假设后端检查逻辑为如果没有这个字段,就认为认证通过,即可造成权限认证绕过漏洞。


可能有人说,这种情况也太巧了,F5 BigIP RCE(CVE-2022-1388)基本就是这个原理导致的。

漏洞环境&详细解析|F5 BIG-IP RCE(CVE-2022-1388)


其他滥用场景

● 删除X-Forwared-For,来隐藏IP

● 删除访问指纹信息

● 缓存中毒DOS

● ......


漏洞环境&详细解析|F5 BIG-IP RCE(CVE-2022-1388)
漏洞环境&详细解析|F5 BIG-IP RCE(CVE-2022-1388)

参考链接
https://nathandavison.com/blog/abusing-http-hop-by-hop-request-headershttps://datatracker.ietf.org/doc/html/rfc2616#section-13.5.1
漏洞环境&详细解析|F5 BIG-IP RCE(CVE-2022-1388)
漏洞环境&详细解析|F5 BIG-IP RCE(CVE-2022-1388)
漏洞环境&详细解析|F5 BIG-IP RCE(CVE-2022-1388)
END
漏洞环境&详细解析|F5 BIG-IP RCE(CVE-2022-1388)
免责声明

本公众号内的文章及工具仅提供学习用途,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本公众号及文章作者不为此承担任何责任。


好文分享收藏赞一下最美点在看哦

原文始发于微信公众号(我不是Hacker):漏洞环境&详细解析|F5 BIG-IP RCE(CVE-2022-1388)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月17日04:27:28
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   漏洞环境&详细解析|F5 BIG-IP RCE(CVE-2022-1388)https://cn-sec.com/archives/1010205.html

发表评论

匿名网友 填写信息