怎么利用网站做兼职,经典营销型网站,做网站需要相机吗,京东网上商城书店官网0x01 前言 F5 BIG-IP广域流量管理器是一种网络流量管理设备#xff0c;用于提升链路性能与可用性。F5在金融行业具有特别广泛的使用量#xff0c;做过各大银行攻防演练的小伙伴对这个系统应该不会陌生。 最近爆出的CVE-2023-46747漏洞能达到远程RCE的效果#xff0c;属于严重…0x01 前言 F5 BIG-IP广域流量管理器是一种网络流量管理设备用于提升链路性能与可用性。F5在金融行业具有特别广泛的使用量做过各大银行攻防演练的小伙伴对这个系统应该不会陌生。 最近爆出的CVE-2023-46747漏洞能达到远程RCE的效果属于严重级别的安全漏洞。有意思的是这个漏洞和“AJP请求走私”有关。相信很多小伙伴是第一次听说这种漏洞类型本文将对请求走私漏洞和CVE-2023-46747做一个详细介绍和分析。 0x02 AJP请求走私介绍 较早出现的AJP请求走私漏洞是CVE-2022-26377关于该漏洞的详细信息已经有作者进行过分析感兴趣的读者可以查看原文https://www.ctfiot.com/44809.html这里我们关注的是AJP请求走私漏洞的危害。 AJP请求走私漏洞影响Apache Httpd 2.4.54注意这里直接受影响的并不是tomcat所以并不是所有的java网站都受请求走私漏洞的影响而是只有启用了httpd服务的网站才受此漏洞影响类似于现在前后端分离中nginx服务的作用。在F5 BIG-IP中启动的WEB服务的架构如图2.1所示并且在F5-BIG-IP中的httpd版本2.2.15受CVE-2022-26377漏洞影响。 图2.1 F5 BIG-IP中的WEB服务架构 图2.2 F5 BIG-IP中的httpd版本 AJP请求走私漏洞并不是一个高危漏洞在各个CVSS评分在6.5-7.5之间所以一直没有受到我的关注只是觉得这是一个仅供研究没有实际意义的理论漏洞。在这次F5 BIG-IP的RCE漏洞爆出之后我才重新对这个漏洞进行研究。关于此漏洞的详细理论可以参考上面的文章这里主要总结下面的几个关键点 1 浏览器并不能直接发送AJP协议的数据包需要依赖于Apache的 proxy_ajp 模块进行反向代理暴露成 HTTP 协议给客户端访问。
2 AJP协议对于POST类型的HTTP请求会分成 header 和 body 两个数据包发送由于处理body数据时其中前面四位固定格式与Forward Request 数据包完全一样导致本来应该是一个数据包body部分的数据可能在进行AJP转发时被识别为另一个数据包。这也是AJP请求走私的本质原理和危害如图2.3所示。
3 AJP请求走私时需要使用Transfer-Encoding: a, chunked 进行分块传输。 图2.3 AJP请求走私流程 从图2.3可以看出整个AJP请求走私的流程是可以把一个HTTP请求经过AJP代理转化之后转化为两个AJP请求这也是请求走私名字的来源。 0x03 CVE-2023-46747漏洞分析 经过0x02的分析已经对AJP请求走私有了初步的了解但是实际上还是很难看出这样的漏洞能导致RCE效果。 从官方对这个漏洞的描述中可以看出此漏洞仅影响开放了TNUI接口的系统F5 BIG-IP默认启用这是因为在/config/httpd/conf.d/proxy_ajp.conf文件中定义了AJP代理的配置其中只会对tmui相关接口进行代理如图3.1所示。 图3.1 TMUI接口中的AJP代理配置 如图2.1所示httpd服务监听的IP是0.0.0.0所以是可以被外网用户直接访问到的httpd提供反向代理的功能把请求转发到tomcat java监听的80端口。最初看到这个漏洞的时候我一直在java代码中寻找鉴权的逻辑以图找到通过AJP请求走私绕过鉴权的方式但是找了很久都没有找到甚至我在F5的JAVA代码中没有找到任何的Filter。后来在翻阅F5的历史漏洞分析文章中才看到原来F5的鉴权并不在JAVA代码中而是在httpd模块中。 F5实现了自己的pam进行认证模块路径为/usr/lib/httpd/modules/其中涉及到login.jsp授权的是mod_f5_auth_cookie.so文件。反汇编之后大概是这样的。我们能够请求/tmui/login.jsp而不需要进行身份验证。 图3.2 访问/tmui/login.jsp不需要授权 如果直接访问其他jsp文件在没有通过身份验证的情况下会被重定向到/tmui/login.jsp 图3.3访问其它页面需要授权 这也就说明在CVE-2023-46747漏洞的POC利用脚本中通过访问/tmui/login.jsp这个页面是不需要授权又可以进行AJP请求转化的页面在body中添加AJP请求走私的内容就可以达到绕过鉴权的效果。
poc地址
https://www.ddpoc.com/poc/DVB-2023-5391.html
在使用的时候注意部分BurpSuite会去掉Transfer-Encoding头自动从分块传输转化为普通传输导致检测失败所以在使用的过程中尽量不要使用Burp代理如果非要抓包可以使用Charles如图3.4所示。 图3.4 使用Burp代码导致检测失败 去掉Burp代理之后在Charles中可以看到正常的Chunked请求体和请求头并且运行成功之后可以执行命令如图3.5所示。 图3.5 通过POC可以正常绕过权限添加用户并执行命令 关于绕过权限之后F5 BIG-IP执行命令的逻辑在F5历史漏洞CVE-2022-1388中已经使用过其实F5 BIG-IP本身就提供了接口/mgmt/tm/util/bash为后台用户执行系统命令的有兴趣的读者也可以看https://mp.weixin.qq.com/s/wUoBy7ZiqJL2CUOMC-8Wdg了解详细的创建用户和后台命令执行的逻辑。 0x4 结论 CVE-2023-46747算是请求走私漏洞的典型应用场景把一个中低危的漏洞放在特定的场景中放大危害造成RCE效果整个利用过程就像是为AJP请求走私量身定制一样。 首先F5 BIG-IP使用httpd来转发前端用户请求并且对特定接口/tmui/*开启AJP请求转发功能。 其次F5 BIG-IP的用户鉴权逻辑在httpd的so文件中实现而不是在java代码中是实现。甚至在后端的java代码中没有任何鉴权逻辑导致只要请求转发到后端java代码则可以访问到。通过AJP请求走私可以把一个隐私的添加用户的请求隐藏在未授权接口/tmui/login.jsp请求中导致绕过了F5鉴权的逻辑把添加用户的请求转发到后端java代码。 最后添加的用户在后台可以直接命令执行导致RCE效果。 参考
https://mp.weixin.qq.com/s/wUoBy7ZiqJL2CUOMC-8Wdg
https://github.com/W01fh4cker/CVE-2023-46747-RCE
https://www.ctfiot.com/44809.html
https://blog.csdn.net/weixin_39541693/article/details/111112257
