Pyspider webui未授权访问带来的安全威胁(附带POC和EXP)

0x00 前言


         我他妈居然在野蛮的期末考试来临之即写博客,为了防止挂科我会写的短点好腾出时间预习
         pyspider是一个基于python的国人研发的爬虫系统,功能非常强大
         关于这个东西。介绍如下:
采用Python语言编写,分布式架构,支持多种数据库后端,强大的WebUI支持脚本编辑器,任务监视器,项目管理器以及结果查看器。

0x01 未授权访问的威胁

         pyspider还带一个webui的界面,方便调度爬虫调试代码的。可是偏偏一些铁憨憨把这个webui开到公网上面,而webui本身没有任何形式的验证机制并且允许远程执行python代码。
         我查遍了google发现这个威胁好像没人提到,那应该是我第一个发现的吧
         用数字公司的fofa一搜发现有几百个
https://fofa.so/result?q=title%3D%22Dashboard+-+pyspider%22&qbase64=dGl0bGU9IkRhc2hib2FyZCAtIHB5c3BpZGVyIg%3D%3D

0x01 POC&EXP

          随便玩,玩累了就睡觉,没关系的
         

评论

此博客中的热门博文

局域网监控软件WFilter ICF 鸡肋0day RCE漏洞挖掘

别想偷我源码:通用的针对源码泄露利用程序的反制(常见工具集体沦陷)

复现基于eBPF实现的Docker逃逸