BabaCrow-byte/mcp-rce-poc
GitHub: BabaCrow-byte/mcp-rce-poc
针对 MCP 协议远程命令执行漏洞(CVE-2026-23744)的概念验证脚本,用于验证目标服务是否存在命令注入风险。
Stars: 0 | Forks: 0
# MCP RCE 概念验证 - CVE-2026-23744
## 描述
该脚本是一个概念验证,用于测试 MCP `/api/mcp/connect` 端点中潜在的远程命令执行 (RCE)。
它发送一个精心构造的 JSON payload,可能通过服务器端对 shell 命令的处理触发命令执行。
⚠️ 此工具仅用于**教育和授权安全测试**。
## 功能
- 检查目标可达性
- 发送构造的 MCP 连接 payload
- 执行用户提供的命令(如果存在漏洞)
- 显示响应输出
## 环境要求
- Python 3.7+
- requests
安装依赖:
```
pip install -r requirements.txt
```
## 用法
```
python3 exploit.py "command"
```
## 示例
```
python3 exploit.py 10.10.10.5 "id"
```
标签:API安全, CISA项目, CVE-2026-23744, JSON输出, Maven, MCP, PoC, Python, RCE, 安全测试, 攻击性安全, 数据展示, 无后门, 暴力破解, 概念验证, 漏洞验证, 红队, 网络安全, 远程命令执行, 逆向工具, 隐私保护