声明:此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!!
现在只对常读和星标的公众号才展示大图推送,建议大家把猫蛋儿安全“设为星标”,否则可能看不到了!
产品简介
F5 BIG-IP是一款提供负载均衡、安全保护和性能优化的应用交付控制器。
漏洞简介
漏洞源于Apache httpd 和 AJP 协议处理请求的方式不一致,而F5定制的Apache httpd基于2.4.6的漏洞版本,导致在特定条件下可以绕过正常的请求处理流程。
由于 Apache httpd 在将请求转发到后端 AJP 服务器之前移除了 "Content-Length" 头,攻击者可以通过发送带有特定 "Content-Length" 和 "Transfer-Encoding" 头的请求,来控制后端服务器的请求处理流程。
看似影响较小的请求走私漏洞,在两个不同服务将认证责任相互转嫁时,可能会成为一个严重的问题。发送“前端”认为已经处理过认证的请求到“后端”服务,会导致出现一些出乎意料的后果。而这种不一致是导致此次漏洞产生的重要成因之一。
利用这个漏洞的攻击者可以绕过身份验证,执行后台任意功能,而后可以再通过串联后台功能漏洞,控制并且接管服务器。
影响版本
F5 BIG-IP <= 17.1.016.1.0 <= F5 BIG-IP <= 16.1.415.1.0 <= F5 BIG-IP <= 15.1.1014.1.0 <= F5 BIG-IP <= 14.1.513.1.0 <= F5 BIG-IP <= 13.1.5
漏洞验证
相关的poc,nuclei脚本已经在github上公开。由于要发送http协议的chunked包,以及patch包,小弟学而不精,未能成功写出python版本的poc,也希望大佬写出来后,让小弟也学习一下,感激不尽。本次复现采用nuclei脚本。
nuclei -u https://xxx.xxx.xxx.xxx -t CVE-2023-46747.yaml
本漏洞一共发送了4个请求包:
漏洞的核心在于第一个包和第二个包,带有特定 "Content-Length" 和 "Transfer-Encoding" 头的请求,来控制后端服务器的请求处理流程。绕过认证逻辑。
第三个包就是绕过认证后,注入账号密码,获取token。
第四个包就是带着token请求bash接口,执行命令。
也是第一次见http请求走私-->RCE的洞,一直觉得难以利用,也在等一个漏洞分析。
nuclei脚本在:
https://github.com/projectdiscovery/nuclei-templates/blob/2fef4270ec6e5573d0a1732cb18bcfc4b1580a88/http/cves/2023/CVE-2023-46747.yaml另外,共勉:
猫蛋漏洞库也收录了一份~
回复关键字【300000】获取POC下载链接
修复建议:
完全限制对 TMUI 门户的访问。升级新版本。
漏洞收录
漏洞已收录于团队内部漏洞库(建设于2019年),现已收集4000+实战漏洞
现仅供团队内部使用,每月随机抽取关注者加入社群交流学习。
回复关键字【300000】获取POC下载链接
点击下方名片进入公众号,欢迎关注!
点个小赞你最好看
原文始发于微信公众号(猫蛋儿安全):【漏洞复现】F5 BIG-IP 远程代码执行漏洞(CVE-2023-46747)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论