【漏洞复现】Pyspider webui未授权访问导致RCE

最新推荐文章于 2025-06-19 17:18:40 发布
最新推荐文章于 2025-06-19 17:18:40 发布
阅读量435 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 【漏洞复现】 文章标签: 漏洞复现 Nday 0day Pyspider
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Fly_hps/article/details/139829017
影响范围

Pyspider webui

基本介绍

Pyspider是一个采用Python语言编写的爬虫系统,功能非常强大,它采用分布式架构,支持多种数据库后端,强大的WebUI支持脚本编辑器,任务监视器,项目管理器以及结果查看器,而偏偏有些开发人员把这个webui开到公网上面,而webui本身没有任何形式的验证机制并且允许远程执行python代码

漏洞检测

python3 poc.py

反弹shell

python3 exp.py

成功反弹shell:

漏洞POC

                

        

         

    

    
  


        

            

                

                

                了解本专栏
                
                
                  
                订阅专栏 解锁全文
                 
            

        


    



                



	

		

			

				
					
Pyspider WebUI 未授权访问远程代码执行漏洞复现

				
			

			

				

					0xSec
				

				

					07-09
					
					829
					
				

			

		

		

			
				
由于Pyspider WebUI未进行合理的访问控制,默认允许远程攻击者未授权访问webui界面,且系统内部存在python脚本在线编辑并运行的模块,导致未经身份验证的攻击者可远程执行python代码调用系统命令来获取服务器权限。

			
		

	



                

            
              



	

		

			

				
					
关于pyspider webui乱码/无法正常运行的解决方案

				
			

			

				

					aersang的博客
				

				

					04-08
					
					720
					
				

			

		

		

			
				
今天第一天用pyspider,由于工作原因,需要在内网运行,在外网环境测试好(能正常运行且ui界面正常)将site-packages文件夹及Scripts文件夹移植到了内网主机,但是进入5000端口发现ui乱码,在网上寻求好久解决方案均无果,最终自己花了4个小时扒了扒代码,发现是css、js文件缺失导致的,可以通过本地化这些文件绕过指向cdn地址,这种方式同时也提升了效率,话不多说,把整个过程以及解决方案分享给大家!

  首先我用了F12工具调用了控制台,发现部分css文件及js文件报错,状...

			
		

	



              


  
              

                


	

		

			

				
					
Weblogic未授权远程代码执行漏洞 (CVE-2023-21839)

				
			

			

				

					wangluoanquan111的博客
				

				

					10-09
					
					731
					
				

			

		

		

			
				
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)

			
		

	





	

		

			

				
					
Python爬虫(七):PySpider 一个强大的 Python 爬虫框架

					
最新发布

				
			

			

				

					桃之夭夭的博客
				

				

					06-19
					
					1513
					
				

			

		

		

			
				
中小规模爬虫、需要可视化管理的项目、快速开发爬虫任务。:复杂爬取逻辑不如 Scrapy 方便。,PySpider 是一个不错的选择!:遇到问题可能需要自己解决。PySpider 是由。PySpider 采用。:可视化任务监控、调试。:适合新手快速上手。:可扩展至多机爬取。

			
		

	



		

			
		



	

		

			

				
					
pyspider爬虫框架webui简介-爬取阿里招聘信息

				
			

			

				

					weixin_30628077的博客
				

				

					04-01
					
					214
					
				

			

		

		

			
				
命令行输入pyspider开启pyspider


浏览器打开http://localhost:5000/

group表示组名,几个项目可以同一个组名,方便管理,当组名修改为delete时,项目会在一天后自动删除。
status表示项目的状态,TODO工作环境,STOP停用状态,DEBUG调试状态,RUNNING运行状态。当设置为RUNNING状态时,点击右边actions的Run...

			
		

	





	

		

			

				
					
pyspider的web界面如何设置

				
			

			

				

					qq_39498924的博客
				

				

					05-07
					
					1203
					
				

			

		

		

			
				
在写pyquery框架时,你是否因为web预览图太小而烦恼?
采用如下方法将其调大:
1、右键审查元素(开发者工具)打开

2、找到预览图对应的节点(iframe)

3、在下方对应的styles里面找到debug.min.css文件并点击

4、将iframe{border-width:0;width:100%}修改为iframe{border-width:0;width:100%;height...

			
		

	





	

		

			

				
					
Python-PySpider一个国人编写的强大的网络爬虫系统并带有强大的WebUI

				
			

			

				

					08-10
				

			

		

		

			
				
PySpider:强大的Python Web爬虫系统及其WebUI详解》  PySpider,一款由国人精心打造的开源网络爬虫框架,以其独特的设计和强大的功能在Python开发者社区中广受好评。这款工具以其易于上手、分布式处理、丰富的Web...

			
		

	





	

		

			

				
					
【Web安全从入门到放弃】05_远程命令、代码执行漏洞

				
			

			

				

					xhxtalent的博客
				

				

					12-09
					
					313
					
				

			

		

		

			
				
05_远程命令、代码执行漏洞
【Web安全从入门到放弃】01_暴力破解漏洞
【Web安全从入门到放弃】02_跨站脚本漏洞
【Web安全从入门到放弃】03_跨站请求伪造(CSRF)漏洞
【Web安全从入门到放弃】04_Sql-Inject漏洞
RCE(remote command/code execute)概述
RCE漏洞,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统。
远程系统命令执行
一般出现这种漏洞,是因为应用系统从设计上需要给用户提供指定的远程命令操作的接口,比如我们常见

			
		

	





	

		

			

				
					
解决pyspider框架web预览框过小问题

				
			

			

				

					angjijing7393的博客
				

				

					05-28
					
					466
					
				

			

		

		

			
				
解决pyspider框架web预览框过小问题
Chrome 使用pyspider框架时,web预览框只有一小条:


解决办法:
找到debug.min.css文件,替换为如下内容:


body{margin:0;padding:0;height:100%;overflow:hidden}.warning{color:#f0ad4e}.error{color:#d9...

			
		

	





	

		

			

				
					
pyspider,一个超酷的 Python 库!

				
			

			

				

					涛哥聊Python
				

				

					05-01
					
					1456
					
				

			

		

		

			
				
Python的pyspider库是一个强大的网络爬虫框架,提供了一整套工具来简化复杂网页的抓取过程。它特别适合于大规模数据抓取任务,支持从简单的静态页面到复杂的动态内容抓取。pyspider的核心优势在于其内置的Web UI,允许用户通过图形界面管理爬虫项目、编辑脚本、监控任务进度,并直接查看抓取结果。此外,它的强大脚本能力、动态内容处理、分布式抓取支持以及错误处理机制,使得pyspider成为开发者在进行网页数据抓取时的优选工具。

			
		

	





	

		

			

				
					
爬虫入门到精通_框架篇14(PySpider架构概述及用法详解)

				
			

			

				

					weixin_41865866的博客
				

				

					03-12
					
					1343
					
				

			

		

		

			
				
(PySpider架构概述及用法详解

			
		

	





	

		

			

				
					
Python pyspider 安装与开发

				
			

			

				

					Python966的博客
				

				

					09-15
					
					3695
					
				

			

		

		

			
				
PySpider 是一个国人编写的强大的网络爬虫系统并带有强大的 WebUI。采用 Python 语言编写,分布式架构,支持多种数据库后端,强大的 WebUI 支持脚本编辑器、任务监视器,项目管理器以及结果查看器。

			
		

	





	

		

			

				
					
python爬虫之PySpider框架详解

				
			

			

				

					naer_chongya的博客
				

				

					05-24
					
					2662
					
				

			

		

		

			
				
PySpider是基于Python编写的强大的网络爬虫框架,它可以快速高效地抓取网站数据并且支持多线程,多进程以及分布式爬虫,广泛应用于数据抓取、数据挖掘等领域。

			
		

	





	

		

			

				
					
Python 爬虫框架 - PySpider

				
			

			

				

					墨鱼菜鸡
				

				

					07-11
					
					2614
					
				

			

		

		

			
				
Python爬虫进阶四之PySpider的用法:http://cuiqingcai.com/2652.html 网络爬虫剖析,以Pyspider为例:http://python.jobbole.com/81109 Python爬虫利器六之PyQuery的用法:https://cuiqingcai.com/2636.html 
爬虫框架pyspider个...

			
		

	





	

		

			

				
					
windows11安装、启动pyspider(2023.06.01)

				
			

			

				

					XIWCX的博客
				

				

					06-01
					
					1729
					
				

			

		

		

			
				
windows11安装、启动pyspider(2023.06.01)。pyspider功能强大,正确安装与启动却是坑很多,这里分享一下我成功启动pyspider的过程。我的操作系统是windows11 64位。

			
		

	





	

		

			

				
					
互联网分布式爬虫技术之爬虫框架pyspider和scrapy的区别和对比分析

				
			

			

				

					SteveRocket's-Blog
				

				

					12-16
					
					1521
					
				

			

		

		

			
				
pyspider是一个强大的分布式爬虫框架,它具有简单易用、可视化界面(WebUI)、支持JavaScript渲染等特点。pyspider使用Python 3编写,支持异步IO,可以同时处理多个任务,适用于高并发的爬取需求。它还提供了强大的数据处理和存储功能,可以将数据保存到数据库中,或者导出为各种格式的文件。scrapy是一个成熟且功能丰富的爬虫框架,它使用Python编写,支持异步IO和多线程,并提供了强大的数据处理和存储功能。scrapy具有良好的可扩展性,可以通过编写插件来增加功能。它还提

			
		

	





	

		

			

				
					
Pyspider基本介绍

				
			

			

				

					Castle_520的博客
				

				

					08-14
					
					3758
					
				

			

		

		

			
				
1、pyspider的架构
pyspider 的架构 主要分为 Scheduler (调度器)、 Fetcher ( 抓取器)、 Processer (处理器) 三个部分,整个爬取过程受到 Monitor (监控器)的监控,抓取的结果被 Result Worker (结果处理器)处理

Scheduler 发起任务调度
Fetcher 负责抓取网页内容
Processer 负责解析网页内容,然后将新生成的 Request 发给 Scheduler 进行调度,将生成的提取结果输出保存

任务执行流程:

每个

			
		

	





	

		

			

				
					

				
			

			

				

					
				

			

		

		

			
				

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

  
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  





	
打赏作者

	

		

		
			
		
		

		

			
FLy_鹏程万里

			
你的鼓励将是我创作的最大动力

		

	

	

			

	

	

    ¥1
    ¥2
    ¥4
    ¥6
    ¥10
    ¥20
	

	

		

			

				

					扫码支付:¥1
				

				

					

					
					获取中
					

				

				

					
					
					扫码支付
				

			

		

		

			
您的余额不足,请更换扫码支付或充值

			
打赏作者

		

	



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值