栏目分类
270999.com您现在的位置: 主页 > 270999.com >
网络爬虫暗藏杀机:在Scrapy中利用Telnet服务LPE
时间:2019-07-09

  *本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。

  网络抓取框架中使用最多的莫过于是scrapy,然而我们是否考虑过这个框架是否存在漏洞妮?5年前曾经在scrapy中爆出过XXE漏洞,然而这次我们发现的漏洞是一个LPE。

  通过该漏洞可以获得shell,本文中暴露的漏洞会产生影响scrapy低于1.5.2的版本。

  Scrapy很容易上手,就如同在官网主页上看到的一样容易,可以快速的写一个蜘蛛爬虫。然后再运行的时候我们可以看到会启动的扩展和一些选项信息,我们可以清楚的看到默认它会启动telnet服务。

  开启telnet的原因是方便调试,那么如果有人访问了这个telnet是不是可以获得一些有趣的东西,而且该控制台会不会在没有任何身份验证的情况下可用然后任何本地用户都可以连接到端口并在运行蜘蛛的用户情况下执行命令,那么是不是会造成本地权限提升(LPE)。

  2. 有一个蜘蛛在运行并暴露了telnet服务。以下蜘蛛符合此要求,进行初始请求,然后因download_delay设置而空转

  信息安全的本质是信任问题,当我们使用了框架就代表我们信任了这个框架,如果框架的安全性不对其进行检测,那么所带来的是毁灭性的结果。藏宝图




友情链接:

Copyright 2018-2021 主页 版权所有,未经授权,禁止转载。