总所周知,python越来越火不过好像火的都是人工智能(尴尬)
但是我今天说下web==
其实也不是web就是巡风
还是接前几天shodan 最近想要在git找个现成的资产管理 然后看到了巡风 就想到了shodan,因为当初自己搭建巡风的时候记得默认密码于是在shodan搜了一下
还是蛮多的 默认密码admin/xunfeng321登陆之后想到能不能getshell
就想到了上传插件这块
看了下规则
是要执行自定义函数的
先传个插件查看系统类型
果然 可以执行其他命令
那就反弹shell岂不是美滋滋
getshell
其他提权啥的就不谈了 况且这个是root权限
好了废话这么多其实就想借巡风蹭个热度 说一下,python生态的安全,不是说命令执行,上传的奇淫技巧,而是说 整个python web这块生态不够大不像php java用的那么多 自然而然关于python安全的研究也少
目前来猜测python的漏洞还是很多的
没了2333333.
