denizguney/Python-RCE-Simulation-Tool

# Python-RCE-Simulation-Tool 一个在 Python 环境中通过不安全系统调用模拟远程代码执行 (RCE) 的技术工具。此教育性概念验证 展示了在基于 Web 的命令执行场景中输入清理 的至关重要性。 Python 远程代码执行 (RCE) 模拟工具 本仓库包含一个技术概念验证，用于演示基于 Python 的 Web 环境中的不安全命令注入 漏洞。 免责声明 本工具仅用于教育和授权安全测试目的。作者不对因使用本程序而导致的任何滥用、非法活动或损害负责。请仅在您拥有或明确获得测试许可的系统上使用。[cite: 2026-03-26] 漏洞分析 该模拟强调了不安全反序列化 的风险。它演示了直接传递给系统级调用（例如 os.system）的未清理 JSON payload 如何导致完全的远程代码执行 (RCE)。在这种情况下，攻击者可以操纵 command 键来执行任意 OS 命令。 安装与执行 git clone https://github.com/[YOUR_USERNAME]/Python-RCE-Simulation-Tool.git 确保您拥有必要的环境 运行 localhost func start 使用以下 curl 触发漏洞利用 curl -X POST http://localhost:7071/api/ExploitTrigger \ -H "Content-Type: application/json" \ -d '{"command": "calc"}' 预期结果 如果系统存在漏洞，JSON payload 内的 calc [cite: 2026-03-26] 命令将被 OS 处理，从而启动本地计算器（例如 gnome-calculator）作为成功代码执行的证明。

标签：API安全, API密钥检测, Homebrew安装, Hpfeeds, JSON输出, PoC, RCE, Web安全, XML 请求, 不安全反序列化, 命令注入, 子域名枚举, 安全开发, 安全测试, 攻击性安全, 暴力破解, 概念验证, 漏洞分析, 漏洞复现, 系统命令执行, 系统安全, 系统调用, 编程工具, 网络安全, 蓝队分析, 路径探测, 输入验证, 远程代码执行, 逆向工具, 隐私保护