本文参考 github 安全鸭
github的漏洞详情
https://github.com/YMFE/yapi/issues/2233#
fofa的关键词
title=="YApi-高效、易用、功能强大的可视化接口管理平台"
长这个样子
漏洞利用前提 需要开启注册功能
默认开启
详情参考一下github地址
https://github.com/YMFE/yapi/issues/2233#
一个不愿意透露姓名的好心人提供好了 python3脚本
使用方法 python3 exp.py -u url -e whomi
脚本稍微有点问题 凑合用吧
脚本公众号回复 YAPI即可
本文始发于微信公众号(阿乐你好):yapi Mock 远程命令执行漏洞
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论