Alibaba Sentinel SSRF漏洞分析（CVE-2021-44139）

Alibaba Sentinel SSRF漏洞分析（CVE-2021-44139）

一、Alibaba Sentienl 简介

随着微服务的流行，服务和服务之间的稳定性变得越来越重要。Sentinel  是面向分布式、多语言异构化服务架构的流量治理组件，主要以流量为切入点，从流量路由、流量控制、流量整形、熔断降级、系统自适应过载保护、热点流量防护等多个维度来帮助开发者保障微服务的稳定性。
Alibaba Sentinel 官方文档：https://sentinelguard.io/zh-cn/docs/introduction.html
二、漏洞代码分析

2.1、环境部署

源码地址：https://github.com/alibaba/Sentinel/releases/tag/v1.8.0
解压之后使用IDEA打开，打开之后自动加载依赖项

自动加载完成依赖项后，访问sentinel-dashboard\src\main\java\com\alibaba\csp\sentinel\dashboard\DashboardApplication.java文件，点击左侧绿色按钮启动项目，如下图所示：

启动完成后，访问http://127.0.0.1:8080显示如下即为启动成功，如下图所示：

默认的登录账号密码为sentinel/sentinel
2.2、漏洞代码分析

这里可以先看一下threedr3am 师傅的提交的报告原文：https://github.com/alibaba/Sentinel/issues/2451
漏洞的触发点在 MetricFetcher 类中，位于sentinel-dashboard\src\main\java\com\alibaba\csp\sentinel\dashboard\metric\MetricFetcher.java。代码如下

1. /*
2. * Copyright 1999-2018 Alibaba Group Holding Ltd.
3. *
4. * Licensed under the Apache License, Version 2.0 (the "License");
5. * you may not use this file except in compliance with the License.
6. * You may obtain a copy of the License at
7. *
8. *      http://www.apache.org/licenses/LICENSE-2.0
9. *
10. * Unless required by applicable law or agreed to in writing, software
11. * distributed under the License is distributed on an "AS IS" BASIS,
12. * WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
13. * See the License for the specific language governing permissions and
14. * limitations under the License.
15. */
16. package com.alibaba.csp.sentinel.dashboard.metric;
18. import java.net.ConnectException;
19. import java.net.SocketTimeoutException;
20. import java.nio.charset.Charset;
21. import java.util.Date;
22. import java.util.HashSet;
23. import java.util.List;
24. import java.util.Map;
25. import java.util.Set;
26. import java.util.concurrent.ArrayBlockingQueue;
27. import java.util.concurrent.ConcurrentHashMap;
28. import java.util.concurrent.CountDownLatch;
29. import java.util.concurrent.ExecutorService;
30. import java.util.concurrent.Executors;
31. import java.util.concurrent.RejectedExecutionHandler;
32. import java.util.concurrent.ScheduledExecutorService;
33. import java.util.concurrent.ThreadPoolExecutor;
34. import java.util.concurrent.ThreadPoolExecutor.DiscardPolicy;
35. import java.util.concurrent.TimeUnit;
36. import java.util.concurrent.atomic.AtomicLong;
38. import com.alibaba.csp.sentinel.Constants;
39. import com.alibaba.csp.sentinel.concurrent.NamedThreadFactory;
40. import com.alibaba.csp.sentinel.config.SentinelConfig;
41. import com.alibaba.csp.sentinel.dashboard.datasource.entity.MetricEntity;
42. import com.alibaba.csp.sentinel.dashboard.discovery.AppInfo;
43. import com.alibaba.csp.sentinel.dashboard.discovery.AppManagement;
44. import com.alibaba.csp.sentinel.dashboard.discovery.MachineInfo;
45. import com.alibaba.csp.sentinel.node.metric.MetricNode;
46. import com.alibaba.csp.sentinel.util.StringUtil;
48. import com.alibaba.csp.sentinel.dashboard.repository.metric.MetricsRepository;
49. import org.apache.http.HttpResponse;
50. import org.apache.http.client.methods.HttpGet;
51. import org.apache.http.concurrent.FutureCallback;
52. import org.apache.http.entity.ContentType;
53. import org.apache.http.impl.client.DefaultRedirectStrategy;
54. import org.apache.http.impl.nio.client.CloseableHttpAsyncClient;
55. import org.apache.http.impl.nio.client.HttpAsyncClients;
56. import org.apache.http.impl.nio.reactor.IOReactorConfig;
57. import org.apache.http.protocol.HTTP;
58. import org.apache.http.util.EntityUtils;
59. import org.slf4j.Logger;
60. import org.slf4j.LoggerFactory;
61. import org.springframework.beans.factory.annotation.Autowired;
62. import org.springframework.stereotype.Component;
64. /**
65. * Fetch metric of machines.
66. *
67. * @author leyou
68. */
69. @Component
70. public class MetricFetcher {
72.     public static final String NO_METRICS = "No metrics";
73.     private static final int HTTP_OK = 200;
74.     private static final long MAX_LAST_FETCH_INTERVAL_MS = 1000 * 15;
75.     private static final long FETCH_INTERVAL_SECOND = 6;
76.     private static final Charset DEFAULT_CHARSET = Charset.forName(SentinelConfig.charset());
77.     private final static String METRIC_URL_PATH = "metric";
78.     private static Logger logger = LoggerFactory.getLogger(MetricFetcher.class);
79.     private final long intervalSecond = 1;
81.     private Map<String, AtomicLong> appLastFetchTime = new ConcurrentHashMap<>();
83.     @Autowired
84.     private MetricsRepository<MetricEntity> metricStore;
85.     @Autowired
86.     private AppManagement appManagement;
88.     private CloseableHttpAsyncClient httpclient;
90.     @SuppressWarnings("PMD.ThreadPoolCreationRule")
91.     private ScheduledExecutorService fetchScheduleService = Executors.newScheduledThreadPool(1,
92.         new NamedThreadFactory("sentinel-dashboard-metrics-fetch-task"));
93.     private ExecutorService fetchService;
94.     private ExecutorService fetchWorker;
96.     public MetricFetcher() {
97.         int cores = Runtime.getRuntime().availableProcessors() * 2;
98.         long keepAliveTime = 0;
99.         int queueSize = 2048;
100.         RejectedExecutionHandler handler = new DiscardPolicy();
101.         fetchService = new ThreadPoolExecutor(cores, cores,
102.             keepAliveTime, TimeUnit.MILLISECONDS, new ArrayBlockingQueue<>(queueSize),
103.             new NamedThreadFactory("sentinel-dashboard-metrics-fetchService"), handler);
104.         fetchWorker = new ThreadPoolExecutor(cores, cores,
105.             keepAliveTime, TimeUnit.MILLISECONDS, new ArrayBlockingQueue<>(queueSize),
106.             new NamedThreadFactory("sentinel-dashboard-metrics-fetchWorker"), handler);
107.         IOReactorConfig ioConfig = IOReactorConfig.custom()
108.             .setConnectTimeout(3000)
109.             .setSoTimeout(3000)
110.             .setIoThreadCount(Runtime.getRuntime().availableProcessors() * 2)
111.             .build();
113.         httpclient = HttpAsyncClients.custom()
114.             .setRedirectStrategy(new DefaultRedirectStrategy() {
115.                 @Override
116.                 protected boolean isRedirectable(final String method) {
117.                     return false;
118.                 }
119.             }).setMaxConnTotal(4000)
120.             .setMaxConnPerRoute(1000)
121.             .setDefaultIOReactorConfig(ioConfig)
122.             .build();
123.         httpclient.start();
124.         start();
125.     }
127.     private void start() {
128.         fetchScheduleService.scheduleAtFixedRate(() -> {
129.             try {
130.                 fetchAllApp();
131.             } catch (Exception e) {
132.                 logger.info("fetchAllApp error:", e);
133.             }
134.         }, 10, intervalSecond, TimeUnit.SECONDS);
135.     }
137.     private void writeMetric(Map<String, MetricEntity> map) {
138.         if (map.isEmpty()) {
139.             return;
140.         }
141.         Date date = new Date();
142.         for (MetricEntity entity : map.values()) {
143.             entity.setGmtCreate(date);
144.             entity.setGmtModified(date);
145.         }
146.         metricStore.saveAll(map.values());
147.     }
149.     /**
150.      * Traverse each APP, and then pull the metric of all machines for that APP.
151.      */
152.     private void fetchAllApp() {
153.         List<String> apps = appManagement.getAppNames();
154.         if (apps == null) {
155.             return;
156.         }
157.         for (final String app : apps) {
158.             fetchService.submit(() -> {
159.                 try {
160.                     doFetchAppMetric(app);
161.                 } catch (Exception e) {
162.                     logger.error("fetchAppMetric error", e);
163.                 }
164.             });
165.         }
166.     }
168.     /**
169.      * fetch metric between [startTime, endTime], both side inclusive
170.      */
171.     private void fetchOnce(String app, long startTime, long endTime, int maxWaitSeconds) {
172.         if (maxWaitSeconds <= 0) {
173.             throw new IllegalArgumentException("maxWaitSeconds must > 0, but " + maxWaitSeconds);
174.         }
175.         AppInfo appInfo = appManagement.getDetailApp(app);
176.         // auto remove for app
177.         if (appInfo.isDead()) {
178.             logger.info("Dead app removed: {}", app);
179.             appManagement.removeApp(app);
180.             return;
181.         }
182.         Set<MachineInfo> machines = appInfo.getMachines();
183.         logger.debug("enter fetchOnce(" + app + "), machines.size()=" + machines.size()
184.             + ", time intervalMs [" + startTime + ", " + endTime + "]");
185.         if (machines.isEmpty()) {
186.             return;
187.         }
188.         final String msg = "fetch";
189.         AtomicLong unhealthy = new AtomicLong();
190.         final AtomicLong success = new AtomicLong();
191.         final AtomicLong fail = new AtomicLong();
193.         long start = System.currentTimeMillis();
194.         /** app_resource_timeSecond -> metric */
195.         final Map<String, MetricEntity> metricMap = new ConcurrentHashMap<>(16);
196.         final CountDownLatch latch = new CountDownLatch(machines.size());
197.         for (final MachineInfo machine : machines) {
198.             // auto remove
199.             if (machine.isDead()) {
200.                 latch.countDown();
201.                 appManagement.getDetailApp(app).removeMachine(machine.getIp(), machine.getPort());
202.                 logger.info("Dead machine removed: {}:{} of {}", machine.getIp(), machine.getPort(), app);
203.                 continue;
204.             }
205.             if (!machine.isHealthy()) {
206.                 latch.countDown();
207.                 unhealthy.incrementAndGet();
208.                 continue;
209.             }
210.             final String url = "http://" + machine.getIp() + ":" + machine.getPort() + "/" + METRIC_URL_PATH
211.                 + "?startTime=" + startTime + "&endTime=" + endTime + "&refetch=" + false;
212.             final HttpGet httpGet = new HttpGet(url);
213.             httpGet.setHeader(HTTP.CONN_DIRECTIVE, HTTP.CONN_CLOSE);
214.             httpclient.execute(httpGet, new FutureCallback<HttpResponse>() {
215.                 @Override
216.                 public void completed(final HttpResponse response) {
217.                     try {
218.                         handleResponse(response, machine, metricMap);
219.                         success.incrementAndGet();
220.                     } catch (Exception e) {
221.                         logger.error(msg + " metric " + url + " error:", e);
222.                     } finally {
223.                         latch.countDown();
224.                     }
225.                 }
227.                 @Override
228.                 public void failed(final Exception ex) {
229.                     latch.countDown();
230.                     fail.incrementAndGet();
231.                     httpGet.abort();
232.                     if (ex instanceof SocketTimeoutException) {
233.                         logger.error("Failed to fetch metric from <{}>: socket timeout", url);
234.                     } else if (ex instanceof ConnectException) {
235.                         logger.error("Failed to fetch metric from <{}> (ConnectionException: {})", url, ex.getMessage());
236.                     } else {
237.                         logger.error(msg + " metric " + url + " error", ex);
238.                     }
239.                 }
241.                 @Override
242.                 public void cancelled() {
243.                     latch.countDown();
244.                     fail.incrementAndGet();
245.                     httpGet.abort();
246.                 }
247.             });
248.         }
249.         try {
250.             latch.await(maxWaitSeconds, TimeUnit.SECONDS);
251.         } catch (Exception e) {
252.             logger.info(msg + " metric, wait http client error:", e);
253.         }
254.         long cost = System.currentTimeMillis() - start;
255.         //logger.info("finished " + msg + " metric for " + app + ", time intervalMs [" + startTime + ", " + endTime
256.         //    + "], total machines=" + machines.size() + ", dead=" + dead + ", fetch success="
257.         //    + success + ", fetch fail=" + fail + ", time cost=" + cost + " ms");
258.         writeMetric(metricMap);
259.     }
261.     private void doFetchAppMetric(final String app) {
262.         long now = System.currentTimeMillis();
263.         long lastFetchMs = now - MAX_LAST_FETCH_INTERVAL_MS;
264.         if (appLastFetchTime.containsKey(app)) {
265.             lastFetchMs = Math.max(lastFetchMs, appLastFetchTime.get(app).get() + 1000);
266.         }
267.         // trim milliseconds
268.         lastFetchMs = lastFetchMs / 1000 * 1000;
269.         long endTime = lastFetchMs + FETCH_INTERVAL_SECOND * 1000;
270.         if (endTime > now - 1000 * 2) {
271.             // to near
272.             return;
273.         }
274.         // update last_fetch in advance.
275.         appLastFetchTime.computeIfAbsent(app, a -> new AtomicLong()).set(endTime);
276.         final long finalLastFetchMs = lastFetchMs;
277.         final long finalEndTime = endTime;
278.         try {
279.             // do real fetch async
280.             fetchWorker.submit(() -> {
281.                 try {
282.                     fetchOnce(app, finalLastFetchMs, finalEndTime, 5);
283.                 } catch (Exception e) {
284.                     logger.info("fetchOnce(" + app + ") error", e);
285.                 }
286.             });
287.         } catch (Exception e) {
288.             logger.info("submit fetchOnce(" + app + ") fail, intervalMs [" + lastFetchMs + ", " + endTime + "]", e);
289.         }
290.     }
292.     private void handleResponse(final HttpResponse response, MachineInfo machine,
293.                                 Map<String, MetricEntity> metricMap) throws Exception {
294.         int code = response.getStatusLine().getStatusCode();
295.         if (code != HTTP_OK) {
296.             return;
297.         }
298.         Charset charset = null;
299.         try {
300.             String contentTypeStr = response.getFirstHeader("Content-type").getValue();
301.             if (StringUtil.isNotEmpty(contentTypeStr)) {
302.                 ContentType contentType = ContentType.parse(contentTypeStr);
303.                 charset = contentType.getCharset();
304.             }
305.         } catch (Exception ignore) {
306.         }
307.         String body = EntityUtils.toString(response.getEntity(), charset != null ? charset : DEFAULT_CHARSET);
308.         if (StringUtil.isEmpty(body) || body.startsWith(NO_METRICS)) {
309.             //logger.info(machine.getApp() + ":" + machine.getIp() + ":" + machine.getPort() + ", bodyStr is empty");
310.             return;
311.         }
312.         String[] lines = body.split("\n");
313.         //logger.info(machine.getApp() + ":" + machine.getIp() + ":" + machine.getPort() +
314.         //    ", bodyStr.length()=" + body.length() + ", lines=" + lines.length);
315.         handleBody(lines, machine, metricMap);
316.     }
318.     private void handleBody(String[] lines, MachineInfo machine, Map<String, MetricEntity> map) {
319.         //logger.info("handleBody() lines=" + lines.length + ", machine=" + machine);
320.         if (lines.length < 1) {
321.             return;
322.         }
324.         for (String line : lines) {
325.             try {
326.                 MetricNode node = MetricNode.fromThinString(line);
327.                 if (shouldFilterOut(node.getResource())) {
328.                     continue;
329.                 }
330.                 /*
331.                  * aggregation metrics by app_resource_timeSecond, ignore ip and port.
332.                  */
333.                 String key = buildMetricKey(machine.getApp(), node.getResource(), node.getTimestamp());
334.                 MetricEntity entity = map.get(key);
335.                 if (entity != null) {
336.                     entity.addPassQps(node.getPassQps());
337.                     entity.addBlockQps(node.getBlockQps());
338.                     entity.addRtAndSuccessQps(node.getRt(), node.getSuccessQps());
339.                     entity.addExceptionQps(node.getExceptionQps());
340.                     entity.addCount(1);
341.                 } else {
342.                     entity = new MetricEntity();
343.                     entity.setApp(machine.getApp());
344.                     entity.setTimestamp(new Date(node.getTimestamp()));
345.                     entity.setPassQps(node.getPassQps());
346.                     entity.setBlockQps(node.getBlockQps());
347.                     entity.setRtAndSuccessQps(node.getRt(), node.getSuccessQps());
348.                     entity.setExceptionQps(node.getExceptionQps());
349.                     entity.setCount(1);
350.                     entity.setResource(node.getResource());
351.                     map.put(key, entity);
352.                 }
353.             } catch (Exception e) {
354.                 logger.warn("handleBody line exception, machine: {}, line: {}", machine.toLogString(), line);
355.             }
356.         }
357.     }
359.     private String buildMetricKey(String app, String resource, long timestamp) {
360.         return app + "__" + resource + "__" + (timestamp / 1000);
361.     }
363.     private boolean shouldFilterOut(String resource) {
364.         return RES_EXCLUSION_SET.contains(resource);
365.     }
367.     private static final Set<String> RES_EXCLUSION_SET = new HashSet<String>() {{
368.        add(Constants.TOTAL_IN_RESOURCE_NAME);
369.        add(Constants.SYSTEM_LOAD_RESOURCE_NAME);
370.        add(Constants.CPU_USAGE_RESOURCE_NAME);
371.     }};
373. }

复制代码

漏洞触发点位于第 212 和 214 行，是 fetchOnce() 方法
fetchOnce()：该方法会向给定的地址发送 HTTP GET 请求，该地址由应用程序的管理类 AppManagement 提供。然后使用回调函数来处理异步的 HTTP 响应，该响应包含了度量数据。在获取到响应后，该方法会解析响应的内容，将其中的度量数据保存在内存仓库中，以便后续使用。
漏洞代码

1. final HttpGet httpGet = new HttpGet(url);
2. httpGet.setHeader(HTTP.CONN_DIRECTIVE, HTTP.CONN_CLOSE);
3. httpclient.execute(httpGet, new FutureCallback<HttpResponse>()

复制代码

这里可以看到使用了httpGet,他是Apache HttpClient 库中的一个类，用于创建 HTTP GET 请求，最终使用 execute 方法执行 HTTP 请求。
接下来追踪一下参数的传递过程
向上追踪发现 参数url是String url 中从 machine.getIp() 和 machine.getPort() 获取了 IP 地址和端口号，以及拼接了一些时间等，而 machine 是从 for-each 循环中的 machines 获取值后将值赋予给 machine

继续追踪 machines，发现在第 182 行处从 appInfo.getMachines(); 处获取的值，期间只做了一个判空处理，如下图所示：

接着进入 appInfo.getMachines(); 方法，在这段代码中 getMachines 中 return 了 machines。而变量 machines 使用了 ConcurrentHashMap.newKeySet() 方法创建了一个线程安全的 Set（集合），其中 machines 值是由 addMachine 方法添加进去的。

下面就是追踪 addMachine 方法了，可以看到调用关系，SimpleMachineDiscovery 类重写了 addMachine 方法，如下图所示：

继续追踪 addMachine 方法，查看调用关系，可以看到 MachineRegistryController 和 AppManagement 都有所调用，但仔细看会发现 MachineRegistryController 处的调用即是 appManagement.addMachine，所以进入那个最终都是可以到 MachineRegistryController 层的

直接进入 MachineRegistryController分析，其主要作用是，获取请求中的参数，并进行相应的处理和判断，最终将信息添加到应用管理中，并返回注册结果。通过代码可以得出接口地址为 /registry/machine，得到传入参数有 app，appType，version，v，hostname，ip，port，并对传入的 app，ip 和 port 参数进行了判断是否为 null 的操作，如下图所示：

继续看下半部分代码，就是将从请求中获取到的数据，分别设置成 machineInfo 的属性值，最后调用appManagement.addMachine(machineInfo);方法添加注册机器信息

至此，整个流程我们追踪完了。现在总结下大致流程就是：参数从 MachineRegistryController 传进来，其中涉及 IP 和 port，通过 appManagement.addMachine(machineInfo); 方法添加机器信息，最终在 MetricFetcher 中使用了 start() 方法定时执行任务，其中有个任务是调用 fetchOnce 方法执行 HTTP GET 请求。
2.3、漏洞验证

在师傅的报告中我们看到该接口存在未授权，这个未授权的原因是为什么呢
在resources-application.properties文件下，我们可以看到这边设置了一个auth.filter.exclude-urls

全局搜索一下auth.filter.exclude-urls，找到另一处auth.filter.exclude-urls

这边可以看到设置了有些url不需要auth也可以访问，所以存在未授权
接下来验证一下漏洞
在本地通过开启一个服务，构造漏洞接口http://127.0.0.1:8080/registry/machine?app=SSRF-TEST&appType=0&version=0&hostname=TEST&ip=xxx.xxx.xxx.xxxx&port=8000，接收到请求信息

来源：程序园用户自行投稿发布，如果侵权，请联系站长删除
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！