目录
Supervisor
Supervisor是使用Python 开发的进程管理程序,一般使用命令行进行管理,当然也能通过web接口图形化管理服务。在配置了web接口后,服务器会启动一个XML RPC服务器,端口为9001,默认配置接口是不需要密码访问的,管理员也可设置为密码访问。利用本漏洞,在获取该接口的访问权限后,远程攻击者可发送一段精心构造的请求,导致在服务器执行任意代码。
影响版本:Supervisor 3.1.2 <= Version <= 3.3.2
漏洞复现
我在本地搭了一个Supervisord的页面,靶机ip:192.168.10.13 ,端口:9001
<