设为首页 | 加入收藏
首页 六合开奖结果 香港开奖现场直播结果 660678王中王开奖直播 今晚六会彩开奖结果l
当前位置:  主页 > 六合开奖结果 >
阅读新闻

网络爬虫暗藏杀机:在Scrapy中利用Telnet服务LPE

发布日期:2019-08-14 01:16   来源:未知   阅读:

  2018香港开奖结果,*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。

  网络抓取框架中使用最多的莫过于是scrapy,然而我们是否考虑过这个框架是否存在漏洞妮?5年前曾经在scrapy中爆出过XXE漏洞,然而这次我们发现的漏洞是一个LPE。

  通过该漏洞可以获得shell,本文中暴露的漏洞会产生影响scrapy低于1.5.2的版本。

  Scrapy很容易上手,就如同在官网主页上看到的一样容易,可以快速的写一个蜘蛛爬虫。然后再运行的时候我们可以看到会启动的扩展和一些选项信息,我们可以清楚的看到默认它会启动telnet服务。

  开启telnet的原因是方便调试,那么如果有人访问了这个telnet是不是可以获得一些有趣的东西,而且该控制台会不会在没有任何身份验证的情况下可用然后任何本地用户都可以连接到端口并在运行蜘蛛的用户情况下执行命令,那么是不是会造成本地权限提升(LPE)。

  2. 有一个蜘蛛在运行并暴露了telnet服务。以下蜘蛛符合此要求,进行初始请求,然后因download_delay设置而空转

  信息安全的本质是信任问题,当我们使用了框架就代表我们信任了这个框架,如果框架的安全性不对其进行检测,那么所带来的是毁灭性的结果。

六合开奖结果   香港开奖现场直播结果   660678王中王开奖直播   今晚六会彩开奖结果l  
Power by DedeCms