Pyspider webui未授权访问带来的安全威胁(附带POC和EXP)
我他妈居然在野蛮的期末考试来临之即写博客,为了防止挂科我会写的短点好腾出时间预习 pyspider是一个基于python的国人研发的爬虫系统,功能非常强大 关于这个东西。介绍如下: 采用Python语言编写,分布式架构,支持多种数据库后端,强大的WebUI支持脚本编辑器,任务监视器,项目管理器以及结果查看器。
0x01 未授权访问的威胁 pyspider还带一个webui的界面,方便调度爬虫调试代码的。可是偏偏一些铁憨憨把这个webui开到公网上面,而webui本身没有任何形式的验证机制并且允许远程执行python代码。
我查遍了google发现这个威胁好像没人提到,那应该是我第一个发现的吧
用数字公司的fofa一搜发现有几百个
https://fofa.so/result?q=title%3D%22Dashboard+-+pyspider%22&qbase64=dGl0bGU9IkRhc2hib2FyZCAtIHB5c3BpZGVyIg%3D%3D
0x01 POC&EXP 放https://github.com/TomAPU/poc_and_exp了 随便玩,玩累了就睡觉,没关系的