Apache APISIX Dashboard RCE漏洞(CVE-2021-45232)
漏洞分析
Post on: Dec 12, 2022
Last edited: 2023-2-9
Views
type
Post
status
Published
date
Dec 12, 2022
slug
summary
tags
漏洞
业务安全
category
漏洞分析
icon
password
Property
Feb 9, 2023 07:23 AM

漏洞描述

Apache Apisix是美国阿帕奇(Apache)基金会的一个云原生的微服务API网关服务。该软件基于 OpenResty 和 etcd 来实现,具备动态路由和插件热加载,适合微服务体系下的 API 管理。
Apache APISIX Dashboard 存在授权问题漏洞,该漏洞源于 Manager API使用了两个框架,在 gin 框架的基础上引入了 droplet 框架,所有的 API 和鉴权中间件都是基于 droplet 框架开发的,但是有些API直接使用了 框架 gin 的接口从而绕过身份验证。

影响版本

APISIX Dashboard < 2.10.1

环境搭建

漏洞环境可利用apisix-docker进行demo的一键搭建,https://github.com/apache/apisix-docker
notion image
修改为2.7后 docker-compose up -d

漏洞复现与分析

notion image
/apisix开头的URL,除了/apisix/admin/tool/version/apisix/admin/user/login以外均需要认证,通过判断HTTP Header中的Authorization来完成鉴权处理
打开路由表,注册了如下路由:
func SetUpRouter() *gin.Engine {
    if conf.ENV == conf.EnvLOCAL || conf.ENV == conf.EnvDEV {
        gin.SetMode(gin.DebugMode)
    } else {
        gin.SetMode(gin.ReleaseMode)
    }
    r := gin.New()
    logger := log.GetLogger(log.AccessLog)
    r.Use(filter.CORS(), filter.RequestId(), filter.IPFilter(), filter.RequestLogHandler(logger), filter.SchemaCheck(), filter.RecoverHandler())
    r.Use(gzip.Gzip(gzip.DefaultCompression))
    r.Use(static.Serve("/", static.LocalFile(filepath.Join(conf.WorkDir, conf.WebDir), false)))
    r.NoRoute(func(c *gin.Context) {
        c.File(fmt.Sprintf("%s/index.html", filepath.Join(conf.WorkDir, conf.WebDir)))
    })

    factories := []handler.RegisterFactory{
        route.NewHandler,
        ssl.NewHandler,
        consumer.NewHandler,
        upstream.NewHandler,
        service.NewHandler,
        schema.NewHandler,
        schema.NewSchemaHandler,
        healthz.NewHandler,
        authentication.NewHandler,
        global_rule.NewHandler,
        server_info.NewHandler,
        label.NewHandler,
        data_loader.NewHandler,
        data_loader.NewImportHandler,
        tool.NewHandler,
        plugin_config.NewHandler,
        migrate.NewHandler,
        proto.NewHandler,
        stream_route.NewHandler,
    }
授权中间件是在droplet中注册的 而导入导出的路由没有用wgin.Wraps()函数转换为droplet的路由函数
notion image
未授权的没用wgin.Wraps()进行二次包装转换.通过全局搜索r.GET
notion image
发现两个未授权的接口
r.GET("/apisix/admin/migrate/export", h.ExportConfig)
r.POST("/apisix/admin/migrate/import", h.ImportConfig)
通过未授权接口,利用import后台随便建立一个路由。然后进行访问,这里注意的是,不是访问当前的9000端口的。而是访问他管理的apache/apisix 的端口 9080
可采用网上exp,
https://github.com/wuppp/cve-2021-45232-exp/blob/main/apisix_dashboard_rce.py
利用效果如下:
notion image
notion image

参考链接

https://mp.weixin.qq.com/s/WEfuVQkhvM6k-xQH0uyNXg
Relate Posts
2022-12-09
vCenter-快照抓取锁屏机器内存Hash
2023-01-11
vCenter-VMDK文件挂载抓取Hash
2023-01-11
vCenter-PE系统进入抓取Hash
2023-01-11
vCenter-利用kon-Boot抓取Hash
2022-12-09
k8s中的未授权访问
2023-03-18
Microsoft Outlook 特权提升漏洞(CVE-2023-23397)
Spring Data Commons 远程命令执行漏洞(CVE-2018-1273)MySQL JDBC XXE漏洞(CVE-2021-2471)
目录
0%
w1nk1
练习时长两年半的网安练习生😷