获取目标虚拟币网站权限的漏洞是Yapi RCE？

文章预览

本文记录了2021年一次有趣的客户 目标测试 实战。这次经历颇为特别，因此我将其整理成笔记，并在此分享，希望对大家有所帮助。 文章作者：先知社区（小薛同学97） 文章来源：https://xz.aliyun.com/t/14748 1 ► 前言 两位大哥是通过利用   Yapi 远程代码执行漏洞 获取了目标虚拟币网站权限。今天分享一篇 Yapi 远程代码执行漏洞WAF绕过的实战记录 。 疫情在家办公，准备开始划水的一天，这时接到 boss 的电话说要做项目，老板发话说干就干。先对先对客户资产进行收集，结果意外发现一个大宝贝！就这样开始了与 Yapi 的美丽邂逅。 2 ► 初步复现 目标界面是这样的 该应用之前爆出过代码执行漏洞，在版本 < =1.19.2中大致的利用过程是注册用户->创建项目->添加接口->输入代码命令->访问接口便可以查看命令执行结果,其中网上流传的payload如下所示 const sandbox ………………………………