自CVE-2020-5902发布以来,互联网一直在嗡嗡作响,这是有充分理由的。由Mikhail Klyuchnikov发现的此漏洞是史诗级事件之一。不应通过公共IP空间访问流量管理用户界面(TMUI),但是在Shodan上进行的快速搜索将发现超过8,400个易受攻击的系统,并且此搜索中可能没有更多原因。
截至2020年7月4日,该漏洞 已被广泛发现并在野外被利用,使攻击者能够在易受攻击的系统上读取文件并执行代码。我本来打算为此发布概念证明,以便有时间让公司修补系统,但是由于概念证明今天似乎遍布Twitter,因此我觉得分享我的学习过程不会有任何危害尚未完成。
最初的剥削迹象
我在7月4日一大早阅读Twitter,发现europa和他的团队在发现该漏洞的利用途径方面取得了一些进展。如下所示,它们似乎很成功。
2020年7月4日在Twitter发的推文
看一看
我自己是一个狂热的漏洞赏金猎人,因此我决定花一些时间研究该漏洞,并在发布概念验证之前尝试利用该漏洞。首先,我决定查看此漏洞的F5通报。
F5在2020年6月30日发布了CVE-2020–5902的安全公告
根据安全公告,远程代码执行(RCE)漏洞与流量管理用户界面相关。尽管F5没有公开易受攻击的页面,但他们在建议的修复措施中留下了非常明确的提示:
F5建议对包含“ * …;”的任何URL进行404重定向。
目录遍历
如你在上方所见,建议采取的措施中的第三步建议对任何包含“ * …;”的URL进行404重定向。这是遍历目录的一种常用方法,因此我决定尝试使用开放漏洞赏金计划的公司所拥有的某些易受攻击的系统。
在这一点上,众所周知的漏洞文件是/tmui/login.jsp(流量管理用户界面)。
没有TMUI的知识,从这里开始有点困难。我决定尝试使用目录强制执行https:///tmui/login.jsp/…;/路径。这返回了一些有趣的结果。除了各种文件夹,看来我现在可以访问download目录了。
查看有趣的文件
该目录似乎包含两个空文件,history.csv并且users.csv,但是在仔细研究之后,似乎您尝试在该目录中访问的任何文件名都会提示下载一个空文件(除非该文件实际存在)。
一些信息收集之后,我就能够访问文件,例如/tmui/pem/listener/settings.jsp,/tmui/system/log/create_publisher.jsp,/tmui/dns/profile/dns_log/create.jsp,和更多。不幸的是,这似乎仍然是一个死胡同,但是可以肯定地确认了该漏洞,因为我可以访问通常需要身份验证的文件和文件夹。
在继续研究之前,我继续进行了报告,并在当晚晚些时候更新了报告的计划中报告了这些漏洞,因为我验证了代码执行的概念证明。
不幸的是,其中有19份报告作为一份报告的副本被关闭。尽管这对我来说并不是一个好消息,但很好的是,此漏洞已经被报告给公司,并且在撰写本文时可能已被修补。
检测的道具!
本地文件包含
不管重复的是什么,我都继续根据我的未关闭报告对系统进行研究。回到我的目录蛮力搜索结果,我注意到一个500有趣的文件的响应:/tmui/locallb/workspace/fileRead.jsp。我怎么想念这个?我立刻想到了几个问题:为什么这会导致内部服务器错误,并且此文件是否按照我的想法去做?
回想过去我见过的其他文件包含机制,我开始尝试附加不同的参数以fileRead.jsp尝试读取/etc/passwd文件。尝试各种参数,然后file=,read=以及name=,我最终会成功的fileName=/etc/passwd!对于攻击者而言,这是巨大的,因为它允许攻击者读取系统上可能包含更多信息的各种文件。
远程执行代码
本地文件包含很好,但是我想找到RCE的方法。可悲的是,在我找到通向RCE的道路之前,第二天早上Twitter就开始传播并公开了概念证明。不过,自从参加“使用Kali Linux进行渗透测试”课程并逐步解决此漏洞以来,我就一直非常享受漏洞利用开发过程,这是另一个绝佳的学习机会。
关注:Hunter网络安全 获取更多资讯
网站:bbs.kylzrv.com
CTF团队:Hunter网络安全
文章:Tony West
排版:Hunter-匿名者
转载:https://blog.csdn.net/qq_25879801/article/details/112411049