aiohttp目录遍历（CVE-2024-23334）漏洞复现

2024年3月13日16:13:34评论52 views字数 271阅读0分54秒阅读模式

环境：pip install aiohttp==3.9.1

环境代码我放在了gist上面，自取：https://gist.github.com/W01fh4cker/2b570b1d0df40aa94808184c231d7ecb，然后在evilServer.py的同目录下创建static文件夹。

Windows复现如图1，

Linux复现如图2

aiohttp目录遍历（CVE-2024-23334）漏洞复现

其中Linux这里需要fuzz"../"来遍历目录。

原文始发于微信公众号（）：aiohttp目录遍历（CVE-2024-23334）漏洞复现

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

本文由 admin 发表于 2024年3月13日16:13:34
转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出)：
aiohttp目录遍历（CVE-2024-23334）漏洞复现https://cn-sec.com/archives/2531872.html
免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉.

你以为的未授权漏洞VS我挖的未授权漏洞 | 一场与开发博弈的头脑风暴