用Python SimpleHTTPServer测试RCE和SSRF

Question

是否可以使用Python测试RCE和SSRF漏洞？还是应该使用VPS服务器？

Answer 1

我认为你需要了解这些漏洞是如何工作的。

示例:在RCE中，攻击者需要有在受害者服务器上运行shell命令的漏洞。因此，如果您在python中使用一个小输入和按钮创建一个简单的网页，用户可以在其中执行shell命令。然后您可以测试RCE。

此外，您还可以创建自己的渗透测试实验室，检查以下内容：Metasploitable DVWA bWAPP

Answer 2

不，你不能用SimpleHTTPServer来做这个。它只会读取和发回服务器上的任何现有文件，以及任何其他文件上的404错误。

根本没有任何处理。没有脚本，没有服务器端，没有数据库访问.读读那份文件然后送回去。

我不知道VPS和这有什么关系。VPS只是一台计算机，就像其他计算机一样，但是“在云中”。它位于另一层--硬件。因此，使用VPS、Playstation 2、虚拟机、坞容器或运行Linux裸金属的物理大型机不会改变任何事情。