首页
社区
课程
招聘
[原创] 基于ChatGpt的wechat远程任意执行命令漏洞
发表于: 2023-4-21 16:03 11772

[原创] 基于ChatGpt的wechat远程任意执行命令漏洞

2023-4-21 16:03
11772

昨晚朋友也想搭建个微信gpt玩.

我和朋友就想让两个gpt在群里面聊聊看会有什么效果.

朋友刚装好后,我就打了几个帮助命令,发现 之前的 #help #reset 常用命令都没有了.

不知道是设置的问题,还是什么. 


我自己搭建的版本是有 #help 命令的.



朋友重新折腾了一下,又可以了,但有个叫tool的插件吸引到我. 因为之前版本没有这个.



查看一下这个命令的帮助.



我就想试一下能不能使用命令. 



打完命令无回显, 本以为是不执行命令执行. 但今天一早看到群里面留言是这样的.



朋友是用的本机搭建玩的.(勇士) 早上起来发现电脑多了个叫kaka的用户,觉得很奇怪.





还好是本机搭的玩的,如果是服务器搭的,他可能还不知道新建用户了.


wechat源码我没有研究过, 至于自身是否有漏洞我不清楚. 但 tool 插件是存在远程执行任意命令的漏洞.

而且是无须 #auth 认证的.

--------------------------------------

最后要说的是,开源项目虽然好玩,但还需谨慎玩.

如果只是玩玩的话,最好是新找个vps玩. (本人是直接在本机虚拟机里面搭的.)

置于商业的话, 还是算了吧...


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 2
支持
分享
最新回复 (4)
雪    币: 524
活跃值: (274)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2

开源链接:

https://github.com/zhayujie/chatgpt-on-wechat


附件中的是带 tool 插件的. 我下的之前的版本是不带的.



上传的附件:
2023-4-21 16:10
0
雪    币: 2915
活跃值: (30836)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
感谢分享
2023-4-21 16:55
1
雪    币: 15158
活跃值: (16822)
能力值: (RANK:730 )
在线值:
发帖
回帖
粉丝
4
棒啊!
2023-4-24 09:23
0
雪    币: 1671
活跃值: (215807)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
5
新建用户厉害了
2023-4-24 09:42
0
游客
登录 | 注册 方可回帖
返回
//