关联漏洞
标题:SQLAlchemy SQL注入漏洞 (CVE-2019-7164)Description:SQLAlchemy是一款基于Python的开源数据库ORM软件。该产品主要提供SQL工具包及对象关系映射工具。 SQLAlchemy 1.2.17及之前版本和1.3.x版本至1.3.0b2版本中存在SQL注入漏洞。远程攻击者可借助‘order_by’参数利用该漏洞执行SQL命令。
介绍
# What
## Part A - Prereqs
- hud cli
- Docker
## Part A - Setup
- In the root of this repo:
- Run `hud build`
- Run `hud dev`
## Part B - Prereqs
- uv
## Part B - Setup
- In the root of this repo run:
- `uv sync`
- `uv venv`
- `source .venv/bin/activate`
- `cp .env.example .env`
- Replace the dummy API keys with your own.
- Then run `python test_full_info.py`
## Troubleshooting
- If you need to cache bust:
```
hud dev . -e --no-cache --build
```
---
## Pentest
`python run_pentest_task.py`
文件快照
[4.0K] /data/pocs/5664b077acb8d50c17ba9b96d41160ada29a8eef
├── [ 220] convert_diff.py
├── [3.0K] Dockerfile
├── [ 528] pyproject.toml
├── [ 527] README.md
├── [ 701] run_pentest_task.py
├── [6.2K] run_tests_docker.py
├── [4.0K] src
│ ├── [4.0K] controller
│ │ ├── [4.0K] cves
│ │ │ ├── [ 24K] cve_2019_7164.py
│ │ │ └── [ 180] __init__.py
│ │ ├── [ 742] env.py
│ │ ├── [ 1] __init__.py
│ │ ├── [7.4K] server.py
│ │ └── [ 10K] test_impact_analyzer.py
│ └── [ 1] __init__.py
├── [4.4K] tasks.json
├── [ 676] test_full_info.py
├── [ 13K] test_mcp_unit_tests.py
├── [ 665] test_one_day.py
├── [3.7K] test_restart.py
├── [ 669] test_zero_day.py
└── [ 20M] uv-x86_64-unknown-linux-gnu.tar.gz
4 directories, 20 files
备注
1. 建议优先通过来源进行访问。
2. 如果因为来源失效或无法访问,请发送邮件到 f.jinxu#gmail.com 索取本地快照(把 # 换成 @)。
3. 神龙已为您对 POC 代码进行快照,为了长期维护,请考虑为本地 POC 付费/捐赠,感谢您的支持。