Probando RCE y SSRF usando Python SimpleHTTPServer [cerrado]

-1

¿Es posible probar las vulnerabilidades de RCE y SSRF utilizando Python SimpleHTTPServer ? ¿O debería usar un servidor VPS?

    
pregunta user185823 05.09.2018 - 00:02
fuente

2 respuestas

1

Creo que necesitas entender cómo funcionan esas vulnerabilidades.

Ejemplo: En RCE, el atacante necesita una vulnerabilidad para ejecutar comandos de shell en el servidor víctima. Entonces, si creas una página web simple en python con una pequeña entrada y un botón donde el usuario puede ejecutar comandos de shell. Entonces puedes probar RCE.

También puedes crear tu propio laboratorio de pruebas de penetración, revisa estos: Metasploitable DVWA bWAPP

    
respondido por el Helen Lux 05.09.2018 - 00:35
fuente
0

No, no puedes hacerlo usando SimpleHTTPServer. Solo leerá y devolverá cualquier archivo existente en el servidor y un error 404 en cualquier otra cosa.

No hay procesamiento en absoluto. Ningún script, ningún servidor incluido, ningún acceso a la base de datos. Solo lee ese archivo y envíalo de vuelta .

Y no sé qué tiene que ver un VPS con eso. Un VPS es solo una computadora, como cualquier otra, pero "en la nube". Se sienta en otra capa - el hardware. Como tal, el uso de un VPS, una Playstation 2, una máquina virtual, un contenedor docker o un mainframe físico que ejecuta Linux bare-metal no cambia nada.

    
respondido por el ThoriumBR 05.09.2018 - 00:55
fuente

Lea otras preguntas en las etiquetas