-
-
[原创] 基于ChatGpt的wechat远程任意执行命令漏洞
-
发表于: 2023-4-21 16:03
-
昨晚朋友也想搭建个微信gpt玩.
我和朋友就想让两个gpt在群里面聊聊看会有什么效果.
朋友刚装好后,我就打了几个帮助命令,发现 之前的 #help #reset 常用命令都没有了.
不知道是设置的问题,还是什么.
我自己搭建的版本是有 #help 命令的.
朋友重新折腾了一下,又可以了,但有个叫tool的插件吸引到我. 因为之前版本没有这个.
查看一下这个命令的帮助.
我就想试一下能不能使用命令.
打完命令无回显, 本以为是不执行命令执行. 但今天一早看到群里面留言是这样的.
朋友是用的本机搭建玩的.(勇士) 早上起来发现电脑多了个叫kaka的用户,觉得很奇怪.
还好是本机搭的玩的,如果是服务器搭的,他可能还不知道新建用户了.
wechat源码我没有研究过, 至于自身是否有漏洞我不清楚. 但 tool 插件是存在远程执行任意命令的漏洞.
而且是无须 #auth 认证的.
--------------------------------------
最后要说的是,开源项目虽然好玩,但还需谨慎玩.
如果只是玩玩的话,最好是新找个vps玩. (本人是直接在本机虚拟机里面搭的.)
置于商业的话, 还是算了吧...
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
