vulhub漏洞复现61_ scrapyd

Alex • 2022-02-13 14:19 • 好物分享

scrapyd 未授权访问漏洞
漏洞详情
scrapyd是爬虫框架scrapy提供的云服务，用户可以部署自己的scrapy包到云服务，默认监听在6800端口。如果攻击者能访问该端口，将可以部署恶意代码到服务器，进而获取服务器权限。

参考链接：

环境搭建
靶场：192.168.4.10_ubuntu
执行如下命令启动scrapyd服务：
#docker-compose up -d
环境启动后，访问`http://your-ip:6800`即可看到Web界面。

漏洞复现
1. 参考[攻击Scrapyd爬虫](https://www.leavesongs.com/PENETRATION/attack-scrapy.html)，构造一个恶意的scrapy包：
#pip install scrapy scrapyd-client

2. 编辑 evil/__init__.py, 加入恶意

版权声明：
作者：Alex
链接：https://www.techfm.club/p/20221.html
来源：TechFM
文章版权归作者所有，未经允许请勿转载。

THE END

二维码

搜索内容