YApi分析从NoSQL注入到RCE远程命令执行.md

已于 2023-03-11 09:46:56 修改
阅读量3k 收藏 5
点赞数 1
文章标签: yapi nosql git
于 2023-03-05 09:48:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/god_zzZ/article/details/129342749
版权
文章详细介绍了YApi在1.12.0之前的版本中存在的NoSQL注入漏洞,攻击者可利用此漏洞获取项目Token并执行Mock脚本,从而获取服务器权限。作者分享了漏洞的环境搭建、注入原理、利用方法以及RCE的完整流程,并提到了修复措施。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

0x00 前提

这个是前几个月的漏洞,之前爆出来发现没人分析就看了一下,也写了一片 Nosql注入的文章,最近生病在家,把这个写一半的完善一下发出来吧。

0x01 介绍

YApi是一个可本地部署的、打通前后端及QA的、可视化的接口管理平台。

YApi 是高效易用功能强大的 api 管理平台,旨在为开发、产品、测试人员提供更优雅的接口管理服务。可以帮助开发者轻松创建、发布、维护 API,YApi 还为用户提供了优秀的交互体验,开发人员只需利用平台提供的接口数据写入工具以及简单的点击操作就可以实现接口的管理。在其1.12.0版本之前,存在一处NoSQL注入漏洞,通过该漏洞攻击者可以窃取项目Token,并利用这个Token执行任意Mock脚本,获取服务器权限。

[YMFE/yapi: YApi 是一个可本地部署的、打通前后端及QA的、可视化的接口管理平台 (github.com)]

https://github.com/YMFE/yapi

当时年底爆出来的从未授权注入到rce的利用,就是从一个buffix出来的,就是下面这个链接

参考链接:

Bugfix 2022 11 01 (#2628)

* fix: 修复【Mongo 注入获取 token】的问题

* chore: up version

* chore: 关闭 Pre-request Script 和 Pre-response Script

v1.11.0 之后 如下脚本功能关闭,如需打开,请联系管理员添加. 在 db, mail 同级配置 scriptEnable: true, 并重启服务 即可

Co-authored-by: ariesly <ariesly@arieslymac13.local>

0x02 环境

当时自己搭建的环境,起一个docker 的 mongo,本地起一个yapi

自己手动搭建, 注意要自己下载带漏洞的版本

mkdir yapi
cd yapi
git clone https://github.com/YMFE/yapi.git vendors //或者下载 zip 包解压到 vendors 目录(clone 整个仓库大概 140+ M,可以通过 `git clone --depth=1 https://github.com/YMFE/yapi.git vendors` 命令减少,大概 10+ M)
cp vendors/config_example.json ./config.json //复制完成后请修改相关配置
cd vendors

yapi server 
访问 在浏览器打开 http://0.0.0.0:9090 访问。非本地服务器,请将 0.0.0.0 替换成指定的域名或ip

其实也可以直接调试P师傅的环境,也是十分方便的,因为自己装确实有好几个bug,

最低0.47元/天 解锁文章
god_Zeo
关注
【漏洞复现】Yapi接口管理平台RCE漏洞汇总
李火火的安全圈
01-10 7367
YApi 是高效、易用、功能强大的 api 管理平台,旨在为开发、产品、测试人员提供更优雅的接口管理服务。可以帮助开发者轻松创建、发布、维护 API,YApi 还为用户提供了优秀的交互体验,开发人员只需利用平台提供的接口数据写入工具以及简单的点击操作就可以实现接口的管理。
2024HVV在即| 最新漏洞CVE库(1.5W)与历史漏洞POC总结分享!
记录开发和安全学习过程中的点点滴滴
04-22 3286
也快到护网的时间了,每年的护网都是一场攻防实战的盛宴,那么漏洞库就是攻防红蓝双方人员的弹药库,红队人员可以通过工具进行监测是否存在历史漏洞方便快速打点,而蓝队则可以对资产进行梳理和监测历史漏洞,及时处理和修复,做好准备.
Nosql 注入从零到一
jklbnm12的博客
09-22 2749
Nosql 注入的简介 NoSQL 注入由于 NoSQL 本身的特性和传统的 SQL 注入有所区别。使用传统的SQL注入,攻击者利用不安全的用户输入来修改或替换应用程序发送到数据库引擎的 SQL 查询语句(或其他SQL语句)。 换句话说,SQL 注入使攻击者可以在数据库中 SQL 执行命令。 与关系数据库不同,NoSQL 数据库不使用通用查询语言。NoSQL 查询语法是特定于产品的,查询是使用应用程序的编程语言编写的:PHP,JavaScript,Python,Java 等。这意味着成功的注入使攻击者不仅可
Nosql inject注入
god_Zeo的安全博客
11-28 1552
最近主要在看那个 YApi注入漏洞,也是一个 mongodb的注入 所以来写一下这个东西,其实现在越来越常见的Nosql注入
nosql注入
m0_68976043的博客
02-28 1793
关系型数据库 mysql oracle sqlserver非关系型数据库 key-value redis MongoDB(not only sql
NoSQL 注入
LYJ20010728的博客
09-17 2773
NoSQL 注入基本概念NoSQLMongoDBMemcachedRedisMongoDB 初步MongoDB 基础概念解析数据库(Database)文档(Document)集合(Collection)MongoDB 基础语法解析MongoDB 创建数据库MongoDB 创建集合MongoDB 插入文档MongoDB 更新文档update 方法save 方法MongoDB 查询文档MongoDB 与 RDBMS Where 语句的比较MongoDB AND 条件MongoDB OR 条件AND 和 OR 联
yapi token注入漏洞
whoami
11-21 2535
YApi 是一个可本地部署的可视化的接口管理平台。YApi 在 1.11.0 之前的版本中存在远程代码执行漏洞,因为 base.js 没有正确对 token 参数进行正确过滤,攻击者可通过 MongoDB 注入获取用户 token(包括用户 ID、项目 ID 等),进而使用自动化测试 API 接口写入待命命令,利用沙箱逃逸触发命令执行
YApi Mongo注入导致RCE漏洞复现
fly夏天的博客
01-31 1007
文章复现了yapi mongo注入导致rce漏洞,并提供了可运行的复现代码。
Yapi远程命令执行漏洞
weixin_46601374的博客
04-06 1043
命令执行漏洞利用的条件? 攻击者可以控制eval函数的参数 【漏洞名称】 Yapi远程命令执行漏洞 【漏洞详情】 Yapi接口管理平台,使用Mock数据/脚本作为中间交互层,为前端后台开发与测试人员提供服务。由于Mock脚本自定义服务未对JS脚本进行命令过滤,使用户可以添加任何请求处理脚本,攻击者可以利用该漏洞在受影响的服务器上执行任意js代码,最终接管并控制服务器。 【验证工具】 浏览器 首先注册一个平台账号,随便变就行,没人管是否正确 进去后创建一个项目 添加接口 .
[Vulfocus解题系列] yapi 代码执行
00勇士王子的博客
07-18 1162
漏洞介绍 名称: yapi 代码执行 描述: API接口管理平台是国内某旅行网站的大前端技术中心开源项目,使用mock数据/脚本作为中间交互层,为前端后台开发与测试人员提供更优雅的接口管理服务,该系统被国内较多知名互联网企业所采用。 YApi 是高效、易用、功能强大的 api 管理平台。但因为大量用户使用 YAPI的默认配置并允许从外部网络访问 YApi服务,导致攻击者注册用户后,即可通过 Mock功能远程执行任意代码。 解题过程 1.打开靶场页面,进入注册页面,随意注册一个用户 2.注册后进入如下页面
NoSQLInjectionAttackDemo-master.zip
12-08
文件在 kali linux下安装运行
PortSwigger NoSQL 注入
最新发布
weixin_42451330的博客
01-16 920
NoSQL 是一种非关系型数据库,适用于存储非结构化或半结构化数据,具有高扩展性和灵活性,但缺乏强一致性和复杂事务支持。NoSQL 注入是攻击者通过操纵 NoSQL 查询语法(如 JSON、BSON)或 API 调用,绕过验证或窃取数据。常见攻击方式包括语法注入、运算符注入和 JavaScript 注入。防御措施包括输入验证、参数化查询、禁用危险功能、使用白名单、最小权限原则、ORM/ODM 工具、编码转义以及日志监控。通过这些方法,可以有效防止 NoSQL 注入,确保应用程序安全。
手工SQL注入流程与常用语句_sql注入 手工(2),34岁网络安全开发大叔感慨
2401_83974173的博客
04-16 876
1’ and (select count(*) from information_schema.tables where table_schema=database() group by concat(0x7e,(select table_name from information_schema.tables where table_schema=database() limit 1,1),0x7e,floor(rand(0)*2)))# 通过修改limit后面数字一个一个爆表。
Yapi远程命令执行漏洞复现
Foreverlove112的博客
09-08 1461
Yapi远程命令执行漏洞复现
简述NoSQL注入
2401_83799022的博客
03-27 756
​ 说明,场景可能为更新用户信息,前端传递修改的手机号、年龄等,但是后端并未对需要更新的字段进行白名单过滤,此时如果攻击者增加。格式的查询的数据交互方式让参数拼接变得难度倍增,但是并不代表没有可能。的应用程序,这样查询会更为方便,但是也具有一定的安全风险,特别是配合。数据库的兴起,安全问题也伴随着呈现。语句拼接前端不可信参数,未进行合理的编码导致。等等,为的是实现更为复杂的查询操作,比如。等字段,导致数据库信息修改,权限提升等。不等于1的用户,转换成我们熟悉的。层暴露了一个未经过滤的接口,参数。
nosql注入初探
China_I_LOVE的博客
11-06 1076
​ 可能是非关系数据库没接触的原因,或者JavaScript不熟悉的原因,整个过程很吃力,除了前面的布尔型都可以理解,最后一个实验有点没搞懂,主要就是这个函数。以及为什么在GET请求这里能想到令牌重置参数可能在这里,以至于绕过邮箱检测。
MONGODB 的基础 NOSQL注入基础
m0_64180167的博客
11-22 1814
首先来学习一下nosql这里安装就不进行介绍 只记录一下让自己了解mongodb。
【漏洞复现】YApi接口管理平台远程代码执行漏洞(含批量POC)
Adminxe的博客
07-11 1056
0x00简介 YAPI是由去哪儿网移动架构组(简称YMFE,一群由FE、iOS和Android工程师共同组成的最具想象力、创造力和影响力的大前端团队)开发的可视化接口管理工具,是一个可本地部署的、打通前后端及QA的接口管理平台。YAPI旨在为开发、产品和测试人员提供更优雅的接口管理服务,可以帮助开发者轻松创建、发布和维护不同项目,不同平台的API。有了YAPI,我们可以很方便的测试、管理和维护多个项目的API接口,不像Swagger那样是随应用生和灭的(且线上环境下大多数须关闭),YAPI是一个独立..
关于NOSQL注入及防御
Wang的专栏
06-17 1066
看起来好像并没有问题,但是这里的username和password如果不是一个字符串会怎样 那就会构成一个查询条件,比如前端传递的参数是 这时候就会构成一条查询语句,密码长度大于0的数据 这个本质上也是一种注入过程,本来是数据,现在变成了逻辑程序 那么如何防御呢?这里也给出一些解决方案 NOSQL注入的防御 1 ) 检查数据类型2 ) 类型转换3 ) 写完整条件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值