F5 BIG-IP漏洞调试环境搭建

12 May 2022

0x00 前言

本文记录从零开始搭建F5 BIG-IP漏洞调试环境的细节。

0x01 简介

本文将要介绍以下内容：

F5 BIG-IP安装
F5 BIG-IP漏洞调试环境配置

0x02 F5 BIG-IP安装

1.下载OVA文件

下载页面：https://downloads.f5.com/esd/productlines.jsp

下载前需要先注册用户并申请激活码，申请地址：http://www.f5.com/trial

(1)在VMware Workstation中导入OVA文件

(2)设置用户名口令

导入虚拟机后，需要输入默认用户名(root)和默认口令(deault)，接着需要重设root用户和admin用户的口令

(3)配置

输入ifconfig获得IP，访问https://<ip>，使用admin用户的凭据进行登录

在配置页面填入激活码

在配置页面可以配置开启ssh允许通过ssh登录

0x03 F5 BIG-IP漏洞调试环境配置

配置文件的定位参考《CVE-2022-1388 F5 BIG-IP iControl REST 处理进程分析与认证绕过漏洞复现》

1.定位java进程

查看进程：

ps aux |grep java

定位进程pid 6324，jar包路径/usr/share/java/rest

查看pid 6324的进程信息：

cd /proc/6324/cwd
ll

定位文件/etc/bigstart/scripts/restjavad

修改JVM_OPTIONS，添加调试参数-agentlib:jdwp=transport=dt_socket,server=y,suspend=n,address=8000

2.定位服务

查看所有服务的状态：

systemctl status

找到pid 6324对应的服务名称runit.service

添加调试参数后需要重启服务：

service runit.service restart

查看参数是否修改：

ps aux |grep 8000

3.开启防火墙

在Web管理面板，依次选择System -> Platform -> Security

添加规则，如下图

远程调试成功，如下图

使用tmsh查看防火墙规则，参考 https://clouddocs.f5.com/cli/tmsh-reference/v15/modules/security/security_firewall_management-ip-rules.html

命令如下：

tmsh -c 'list /security firewall management-ip-rules'

结果如下图

4.常用jar包位置

/usr/local/www/tmui/WEB-INF/lib/
/usr/share/java/rest

0x04 常用知识

1.tmsh用法

参考资料：

https://clouddocs.f5.com/api/tmsh/

https://clouddocs.f5.com/cli/tmsh-reference/latest/

(1)查看版本

tmsh show /sys version

(2)查看所有配置

分步操作：

tmsh
list all-properties
y

一键操作：

echo y | tmsh -c 'list all-properties'

(3)查看用户信息

分步操作：

tmsh
list auth

一键操作：

tmsh -c 'list auth'

(4)创建管理员用户(web和ssh登录)

参考：https://clouddocs.f5.com/cli/tmsh-reference/v15/modules/auth/auth_user.html

分步操作：

tmsh
create auth user user123 password aaaaaaa1234 description "Admin User" shell bash partition-access add { all-partitions { role admin } }

需要注意口令不能存在特殊字符

一键操作：

tmsh -c 'create auth user user123 password aaaaaaa1234 description "Admin User" shell bash partition-access add { all-partitions { role admin } }'

(5)删除用户

分步操作：

tmsh
delete auth user test1

一键操作：

tmsh -c 'delete auth user test1'

2.使用REST API执行命令

需要管理员用户名口令

访问https://<url>/mgmt/tm/util/bash

能够执行bash命令，获得返回结果

代码已上传至github，地址如下：

https://github.com/3gstudent/Homework-of-Python/blob/master/BIG-IP_RunBash.py

3.日志相关

(1)搜索带有指定关键词的日志

grep -iR aaaaaaaa /var/log/

(2)web管理后台同日志文件的对应关系

审计日志，位置System ->Logs -> audit，对应文件/var/log/audit

用户登录历史记录，位置Logins -> History，对应文件/var/log/secure

(3)其他日志位置

/var/log/restjavad-audit.0.log
/var/log/auditd/audit.log
/var/log/btmp
/var/log/wtmp
/var/log/lastlog

(4)查看web访问日志

journalctl /usr/bin/logger

清除所有：

rm -rf /var/log/journal/*
systemctl restart systemd-journald

0x05 小结

在我们搭建好F5 BIG-IP漏洞调试环境后，接下来就可以着手对漏洞进行学习。

F5 BIG-IP漏洞调试环境搭建