【漏洞复现】Pyspider webui未授权访问导致RCE

文章预览

影响范围 Pyspider webui 基本介绍 Pyspider是一个采用Python语言编写的爬虫系统，功能非常强大，它采用分布式架构，支持多种数据库后端，强大的WebUI支持脚本编辑器，任务监视器，项目管理器以及结果查看器，而偏偏有些开发人员把这个webui开到公网上面，而webui本身没有任何形式的验证机制并且允许远程执行python代码 漏洞检测 python3 poc .py 反弹shell python3 exp .py 成功反弹shell： root @amazing -idea -7 :~# nc -lvp  4444 Listening on [ 0.0 .0 .0 ] (family  0 , port  4444 )Connection fromm  45348  received! /home/u buntuCommand Execution Completed! /nome/u wuntu whoami root pwd /home/ubunt /home/ubuntu /home/ubuntuls41154.shLifExp.classTryCMD.class datafrp_0 .32 .1 _linux_amd64.tar.gzgoby-linux-x64 -1.7 .186 goby-Linux-x64 -1.7 .186 .zipLinuxpriv checker.pyshadowsocks. logshadowsocks.shv2ray.sh 网络安全招生 zip/home/ubuntu root @amazing -idea -7 :~# ………………………………