构建F5 BIG-IP漏洞调试环境

0x00 前言

本文记录了从零开始搭建F5 BIG-IP漏洞调试环境的细节。

0x01 简介

本文将介绍以下内容：

F5-IP安装

F5-IP漏洞调试环境配置

常识

0x02 F5 BIG-IP安装

1.下载OVA文件

下载页面：https://downloads.f5.com/esd/productlines.jsp

下载前需要注册用户，申请激活码。申请地址是http://www.f5.com/trial.

2.安装

(1)在VMware工作站中导入OVA文件。

(2)设置用户名和密码。

虚拟机导入后，需要输入默认用户名(root)和默认密码(deault)，然后需要重置root和admin用户的密码。

3)配置

输入ifconfig以获取IP，访问https://，并使用admin用户的凭据登录。

在配置页面上填写激活码

在配置页面上，您可以配置打开ssh并允许通过ssh登录。

0x03 F5 BIG-IP漏洞调试环境配置

配置文件的位置参考是《CVE-2022-1388 F5 BIG-IP iControl REST 处理进程分析与认证绕过漏洞复现》。

1.定位java进程

查看流程：

ps aux |grep java

如下图

找到进程pid 6324，jar包路径/usr/share/java/rest

检查pid 6324的过程信息：

cd /proc/6324/cwd

陆线（landlines的缩写）

如下图

找到文件/etc/bigstart/scripts/restjavad

修改JVM_OPTIONS，添加调试参数-agent lib:jdwp=transport=dt _ socket，server=y，suspend=n，address=8000。

2.定位服务

查看所有服务的状态：

系统控制状态

找到pid 6324对应的服务名runit.service

添加调试参数后，您需要重新启动服务：

服务runit.service重新启动

检查参数是否被修改：

ps aux |grep 8000

如下图

3.开启防火墙

在Web管理面板中，选择系统-平台-安全性。

添加规则，如下图所示

远程调试成功，如下图所示

使用tmsh查看防火墙规则，请参阅

https://cloud docs . F5 . com/CLI/tmsh-reference/v15/modules/security/security _ firewall _ management-IP-rules . html

该命令如下所示：

tmsh -c '列表/安全防火墙管理-IP-规则'

结果如下

4.常用jar包位置

/usr/local/www/tmui/we b-INF/lib/

/usr/share/java/rest

0x04 常用知识

1.tmsh用法

参考资料：

https://clouddocs.f5.com/api/tmsh/

https://clouddocs.f5.com/cli/tmsh-reference/latest/

(1)查看版本

tmsh显示/系统版本

(2)查看所有配置

逐步操作：

tmsh

列出所有属性

y

一键操作：

echo y | tmsh -c '列出所有属性'

(3)查看用户信息。

逐步操作：

tmsh

列表授权

一键操作：

tmsh -c '列表授权'

(4)创建管理员用户(web和ssh登录)

参考：3359 cloud docs . F5 . com/CLI/tmsh-reference/v 15/modules/auth/auth _ user.html

逐步操作：

tmsh

创建授权用户user123密码aaaaaa1234描述“管理员用户”shell bash分区-访问添加{所有分区{角色管理员} }

请注意，密码不能包含特殊字符。

一键操作：

tmsh-c ' create auth User User 123 password aaaaaa 1234 description ' Admin User ' shell bash partition-access add { all-partitions { role Admin } } '

(5)删除用户

逐步操作：

tmsh

删除授权用户test1

一键操作：

tmsh -c '删除验证用户test1 '

2.使用REST API执行命令

需要管理员用户名和密码。

请访问https:///mgmt/tm/util/bash

能够执行bash命令并获得返回的结果。

代码已经上传到github，地址如下：

https://github . com/3g student/Homework-of-Python/blob/master/BIG-IP _ run bash . py

3.日志相关

(1)搜索带有指定关键词的日志

grep -iR aaaaaaaa /var/log/

(2)web管理后台同日志文件的对应关系

审核日志，位置System -Logs-audit，对应的文件/var/log/audit

用户登录历史、位置登录历史、相应的文件/var/log/secure

(3)其他日志位置

/var/log/restjavad-audit.0.log

/var/log/auditd/audit.log

/var/log/btmp

/var/log/wtmp

/var/log/lastlog

(4)查看web访问日志

日志/usr/bin/记录器

全部清除：

rm -rf /var/log/journal/*

systemctl重新启动systemd-journald

0x05 小结

在我们设置了F5 BIG-IP漏洞调试环境后，我们可以开始了解漏洞。

留下回复