Python PIL 远程命令执行漏洞(GhostButt CVE-2017-8291 )

Python PIL 远程命令执行漏洞(GhostButt CVE-2017-8291 )

漏洞原理:Python中处理图片的模块PIL(Pillow),因为其内部调用了GhostScript而受到GhostButt漏洞(CVE-2017-8291)的影响,造成远程命令执行漏洞
攻击机:window 10 192.168.32.1
靶机:ubantu 16.04 192.168.32.142

(1)在ubantu中开启docker环境CVE-2017-8291
执行命令:docker-compose up -d
在这里插入图片描述

(2)在windows下访问靶场:http://192.168.32.142:8000/
在这里插入图片描述

(3)上传poc.png图片(poc.png在vulhub对应得CVE-2017-8291文件下)
在这里插入图片描述

使用记事本开打poc.png,有建一个文件aaaaa

<think>我们被要求使用pip安装指定版本的PIL库(实际上是Pillow库)。根据引用[1]和[2],我们知道安装PIL库实际上是通过安装Pillow来实现的。因此,安装特定版本的Pillow库即可。安装指定版本的Python包,我们可以使用以下pip命令格式:```pipinstallpackage_name==version_number```因此,安装特定版本的Pillow,命令为:```pipinstallPillow==版本号```例如,要安装8.0.1版本的Pillow,命令如下:```pipinstallPillow==8.0.1```注意:如果系统中有多个Python版本,可能需要使用特定Python版本的pip,例如:```python3-mpipinstallPillow==8.0.1```或者```py-3.8-mpipinstallPillow==8.0.1```另外,根据引用[5],我们也可以看到安装指定版本模块的命令格式。但是,请注意,如果用户之前遇到了pip命令无法识别的问题(如用户之前的问题),则可能需要使用`python-mpip`的形式来执行。因此,综合以上,我们给出两种方式:1.直接使用pip(如果环境变量配置正确):```powershellpipinstallPillow==8.0.1```2.使用python解释器调用pip(避免环境变量问题):```powershellpython-mpipinstallPillow==8.0.1```如果用户需要知道可用的版本,可以使用以下命令查看:```powershellpipinstallPillow==```或者(更准确的方式是使用pip的安装前版本列表,但通常我们可以在PyPI页面上查看:https://pypi.org/project/Pillow/)另外,引用[3]提到了在混合使用conda和pip时可能出现的依赖问题,如果用户是在conda环境中,建议尽量使用conda安装,但conda可能不提供所有版本。因此,如果必须使用pip安装特定版本,请注意可能的依赖冲突。最后,引用[4]提到了一种自动安装第三方库的方式,但这里我们只需要安装特定版本,所以手动指定版本即可。因此,回答如下:</think>### 安装指定版本的Pillow库(PIL替代库) 根据您提供的引用内容,安装特定版本的Pillow库(PIL的现代替代品)需要以下步骤: --- #### 📌 安装命令格式 ```powershell pip install Pillow==版本号 ``` #### ✅ 操作步骤: 1. **确定可用版本**(引用[5]): ```powershell pip install Pillow== ``` 命令执行后会显示所有可用版本列表 2. **安装指定版本**(例如8.0.1): ```powershell pip install Pillow==8.0.1 ``` 3. **验证安装**: ```powershell pip show Pillow ``` 输出应包含:`Version: 8.0.1` --- #### 💡 注意事项: 1. **环境问题**: - 如遇 `pip 无法识别` 错误,使用完整路径(引用[2]): ```powershell python -m pip install Pillow==8.0.1 ``` 2. **版本兼容性**: - 特定版本可能需要特定Python版本支持 - 旧版Pillow兼容性参考[官方文档](https://pillow.readthedocs.io/en/stable/installation.html) 3. **依赖管理**: - 安装特定版本时会自动安装兼容依赖(引用[3]) - 使用 `pip check` 验证依赖完整性 --- #### 🌰 安装示例: ```powershell # 安装较新的9.0.0版本 pip install Pillow==9.0.0 # 安装经典的7.2.0版本 pip install Pillow==7.2.0 ``` > **关键提示**: > 在Windows系统中,若安装失败,可尝试: > ```powershell > python -m pip install --user Pillow==8.0.1 > ```
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值