CVE-2020-5902 简单利用 - Kirin博客

CVE-2020-5902 简单利用

作者: A.毒蜂

全网最全的网络资源分享网站

标签:

漏洞

特别声明:部分文章为网络转载,资源使用一般不提供任何帮助,特殊资源除外,如有侵权请联系站长!请勿违法!本站文章仅供学习了解!技术无罪!

漏洞简述


F5 BIG-IP 是美国F5公司一款集成流量管理、DNS、出入站规则、web应用防火墙、web网关、负载均衡等功能的应用交付平台。在 F5 BIG-IP 产品的流量管理用户页面 (TMUI)/配置实用程序的特定页面中存在一处远程代码执行漏洞。此漏洞允许未经身份验证的攻击者或经过身份验证的用户通过BIG-IP管理端口和/或自身IP对TMUI进行网络访问,以执行任意系统命令、创建或删除文件、禁用服务和/或执行任意Java代码。



受影响的版本

F5 BIG-IP 15.x 已知易受攻击版本 15.1.0、15.0.0
F5 BIG-IP 14.x 已知易受攻击版本 14.1.0-14.1.2
F5 BIG-IP 13.x 已知易受攻击版本 13.1.0-13.1.3
F5 BIG-IP 12.x 已知易受攻击版本 12.1.0-12.1.5
F5 BIG-IP 11.x 已知易受攻击版本 11.6.1-11.6.5


漏洞复现下载poc
https://github.com/zhzyker/CVE-2020-5902

查找具备漏洞版本的目标,这里利用FOFA搜索的 title="BIG-IP" 关键信息


运行命令
python3 cve-2020-5902_file.py IP


利用成功,可以返回当前用户信息

注:本实验不得用于商业用途,仅做学习交流,一切后果自行承担。

分享到:
加入交流群
未经允许不得转载:

作者: A.毒蜂, 转载或复制请以 超链接形式 并注明出处 Kirin博客
原文地址: 《CVE-2020-5902 简单利用》 发布于2020-10-18

切换注册

登录

您也可以使用第三方帐号快捷登录

切换登录

注册

觉得文章有用就加入交流群吧

QQ扫一扫