【漏洞复现】CVE-2021-45232 Apache-apisix-dashboard

最新推荐文章于 2025-02-26 23:24:53 发布
最新推荐文章于 2025-02-26 23:24:53 发布
阅读量223 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: Vulhub漏洞复现 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_53121608/article/details/131698034
文章描述了如何在靶场环境中设置和利用路由。首先,启动环境并确认端口号为9090,接着使用默认凭证登录。然后,在路由页面配置POC,通过CMD执行命令,成功注入并执行了恶意的“script”字段。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

靶场搭建

修改版本号

 

 

 启动环境

 查看端口号为9090

 用主机登录ip:9000,默认用户名:admin,默认密码:admin

 点击“路由”进入路由页面

 打开POC所在文件夹

cmd执行

 

 

 刷新路由页面

 查看路由配置,成功注入恶意“script”字段

 尝试执行命令

 成功执行

 

Apache APISIX Dashboard 未授权访问漏洞公告(CVE-2021-45232)
ApacheAPISIX的博客
12-29 2658
Apache APISIX Dashboard 2.7-2.10 版本中出现了未经授权访问的安全漏洞,现将处理信息进行相关公告。
复现与代码分析】Apache APISIX Dashboard API权限绕过导致RCE(CVE-2021-45232
weixin_45694388的博客
04-24 1521
API接口未授权访问一直以来都是令甲方安全人员头疼的问题,在《OWASP API Security Top 10 2019》里面,Broken Object Level Authorization(失效的对象级授权),包括未授权、越权访问等,就是排在第一位的安全问题:未授权漏洞的出现频率越来越高,且漏洞的利用又相对简单,今后应针对这个方向的漏洞多做积累,多做总结。
CVE-2021-45232漏洞复现
派大星的博客
01-04 8159
cve-2021-45232漏洞复现
CVE-2021-45232 Apache APISIX Dashboard RCE漏洞复现
m0_58596609的博客
01-17 2868
CVE-2021-45232 Apache APISIX Dashboard RCE漏洞复现
Apache APISIX Dashboard 未经认证访问导致 RCE(CVE-2021-45232漏洞复现
weixin_56537388的博客
11-09 1439
在 2.10.1 之前的 Apache APISIX Dashboard 中,Manager API 使用了两个框架,并在框架的基础上引入了框架,所有的 API 和认证中间件都是基于框架开发的。但是这些 API 中有 2 个,并且直接使用框架的接口,它们能够绕过身份验证。通过使用这 2 个未经认证的 API 端点,攻击者可以导出和导入任意 Apache APISIX 配置,包括路由器、服务、脚本等,从而导致请求意外 URL (SSRF) 或执行任意 LUA 脚本 (RCE)。docker环境搭建。
Apache APISIX Dashboard 未授权访问(CVE-2021-45232 )
m0_54125423的博客
03-01 5318
一、漏洞原理 Apache APISIX是一个实时、动态、高性能的API网关。Apache APISIX Dashboard旨在让用户尽可能容易地通过前端界面来操作Apache APISIX2021年12月27日,Apache官方发布安全通告,Apache APISIX Dashboard中存在一个未授权访问漏洞CVE-2021-45232)。 在2.10.1之前的Apache APISIX Dashboard中,Manager API使用了两个框架,在框架 "gin "的基础上引入了框架 "d
每日一漏洞cve-2021-45232
jjjj1029056414的博客
07-27 242
复现漏洞cve-2021-45232Apache APISIX Dashboard API权限绕过导致RCE)
Apache APISIX DashboardCVE-2022-24112)命令执行漏洞方式利用
include_voidmain的博客
04-11 8200
0x01 什么是Apache APISIX Dashboard Apache APISIX 是一个动态、实时、高性能的开源 API 网关,提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。Apache APISIX 可以帮助企业快速、安全地处理 API 和微服务流量,包括网关、Kubernetes Ingress 和服务网格等。 0x02 漏洞详情 漏洞编号:CVE-2022-24112 影响版本:Apache APISIX < 2.12.1 Apache APIS
网络安全最全Apache Apisix网关系统历史漏洞复现分析_apache apisix 漏洞(2),2024年最新网络安全 400道面试题通关宝典助你进大厂
2401_84239830的博客
05-14 1008
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
【密钥泄漏】CVE-2022-29266 Apache Apisix jwt插件
HBohan的博客
04-29 1027
漏洞描述 在2.13.1版本之前的APache APISIX中,攻击者可以通过向受 jwt-auth 插件保护的路由发送不正确的 JSON Web 令牌来通过错误消息响应获取插件配置的机密。依赖库 lua-resty-jwt 中的错误逻辑允许将 RS256 令牌发送到需要 HS256 令牌的端点,错误响应中包含原始密钥值。 漏洞版本 Apache Apisix < 2.13.1 插件开启 在这里给大家演示的是Dashboard页面开启jwt插件。 1、当我们环境搭建完毕后、通过访问http://127
Apache APISIX Dashboard 未授权访问漏洞CVE-2021-45232
Bird&Bird
03-13 1102
Apache APISIX 是一个动态、实时、高性能的 API 网关, 提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。Apache APISIX Dashboard 使用户可通过前端界面操作 Apache APISIX。该漏洞的存在是由于 Manager API 中的错误。Manager API 在 gin 框架的基础上引入了 droplet 框架,所有的 API 和鉴权中间件都是基于 droplet 框架开发的。但是有些 API 直接使用了框架 gin 的接口,从而绕
Apache APISIX Dashboard 身份验证绕过漏洞CVE-2021-45232
Adminxe的博客
12-29 3296
0x00 漏洞描述 Apache APISIX 是一个动态、实时、高性能的 API 网关, 提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。Apache APISIX Dashboard 使用户可通过前端界面操作 Apache APISIXCVE-2021-45232漏洞的存在是由于 Manager API 中的错误。Manager API 在 gin 框架的基础上引入了 droplet 框架,所有的 API 和鉴权中间件都是基于 droplet 框架开发的..
Apache APISIX Dashboard 身份验证绕过漏洞CVE-2021-45232
kukudeshuo的博客
12-30 2974
Apache APISIX Dashboard 身份验证绕过漏洞CVE-2021-45232漏洞描述 Apache APISIX 是一个动态、实时、高性能的 API 网关, 提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。Apache APISIX Dashboard 使用户可通过前端界面操作 Apache APISIXCVE编号 CVE-2021-45232 FOFA语句 title="Apache APISIX Dashboard" 影响范围 Apache
CVE-2021-45232 Apache-apisix-dashboard RCE复现
weixin_46137328的博客
01-10 1966
0x00 概述Apache APISIX 是一个动态、实时、高性能的 API 网关, 提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。Apache AP...
cve-2021-45232Apache APISIX Dashboard身份认证绕过自检方法
weixin_48421613的博客
12-29 3658
漏洞描述 Apache APISIX 是一个动态、实时、高性能的 API 网关, 提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。Apache APISIX Dashboard 使用户可通过前端界面操作 Apache APISIX。 该漏洞的存在是由于 Manager API 中的错误。Manager API 在 gin 框架的基础上引入了 droplet 框架,所有的 API 和鉴权中间件都是基于 droplet 框架开发的。但是有些 API 直接使用了框架 gin 的
Vulhub靶机 Apache APISIX Dashboard RCE(CVE-2021-45232)(渗透测试详解)
最新发布
2301_78721909的博客
02-26 421
Vulhub靶机 Apache APISIX Dashboard RCE(CVE-2021-45232)(渗透测试详解)
漏洞预警:CVE-2021-45232 Apache APISIX Dashboard 未授权访问(附批量扫描POC)
热门推荐
土豆的博客
12-29 7万+
目录 Part1 漏洞描述 Part2 风险等级 Part3 漏洞影响 Part4 漏洞分析 4.1 漏洞源码 4.2 漏洞验证 4.3 POC Part5 修复建议 Part1 漏洞描述 Apache APISIX 是一个动态、实时、高性能的 API 网关,Apache APISIX Dashboard 使用户可通过前端界面操作 Apache APISIX。 在2.10.1之前的Apache APISIX Dashboard中,Manager API使用了两个框架gin和drople
CVE-2021-45232 Apache-apisix-dashboard 未授权到RCE
Keepb1ue的博客
01-20 5921
Apache APISIX介绍 Apache APISIX是一个动态、实时、高性能的API网关。提供了丰富的流量管理功能,如负载均衡、动态上游、canary释放、断路、认证、可观察性等。也可以使用Apache APISIX来处理传统的南北向流量,以及服务之间的东西向流量。它也可以用作k8s的ingress控制器。 漏洞概述 该漏洞的存在是由于 Manager API 中的错误。Manager API 在 gin 框架的基础上引入了 droplet 框架,所有的 API 和鉴权中间件都是基于 droplet
复现vulhub中Apache APISIX Dashboard API权限绕过导致RCE(CVE-2021-45232
YX_zjp的博客
05-09 768
Apache APISIX Dashboard 2.10.1版本前存在两个API`/apisix/admin/migrate/export`和`/apisix/admin/migrate/import`,他们没有经过`droplet`框架的权限验证,导致未授权的攻击者可以导出、导入当前网关的所有配置项,包括路由、服务、脚本等。Apache APISIX是一个动态、实时、高性能API网关,而Apache APISIX Dashboard是一个配套的前端面板。9080端口是Apache APISIX监听端口。
Laravel CVE-2021-3129漏洞利用工具包解析
资源摘要信息:"Laravel-CVE-2021-3129-EXP-main.zip是一个关于CVE-2021-3129漏洞的Exploit工具包,该漏洞是Laravel框架中的一个安全漏洞,攻击者可以通过这个漏洞在受影响的服务器上自动写入Shell。CVE-2021-3129是...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值