HW前第一弹：F5 BIG-ip 后利用详细版

文章预览

由  @lowercase_drm 、  myst404 (@myst404_)于  2024 年 5 月 29 日星期三  发布 在最近的一次攻击中，Almond OffSec 成员通过破坏负载均衡器获得了特权访问权限。OffSec 团队使用 CVE-2022-1388 以 root 用户身份访问 BIG-IP 设备。此漏洞的根本原因超出了本博客文章的范围，但 在此处进行了解释。虽然已知此 CVE 被 各种   威胁   行为者 使用 ，但在攻击时，后期利用场景尚未得到很好的记录。在确认目标易受攻击后，团队开始寻找利用此漏洞破坏目标资产的方法。通过对设置为负载平衡密码管理器的 F5 BIG-IP 设备执行中间人攻击，他们能够检索应用程序的有效凭据，访问密码管理器并破坏整个 Windows 域 - 而无需执行任何 AD 攻击。本文说明了 F5 设备上的 MITM 攻击设置。 注意： 下面描述的所有测试均在从此版本的官方 VMWare 映像安装的 F5 BIG-IP 16.1.2-0.0.18 LTM 上执行（sha ………………………………