某”基于ChatGPT“开源项目引发的交互接口getshell
💡
原文中文,约2300字,阅读约需6分钟。
📝
内容提要
OpenAI发布ChatGPT-3.5到4,引发第三方开源项目。其中一个项目存在安全漏洞,可能导致API密钥泄露和Webshell权限获取。通过分析代码,发现可通过打印变量或插入新的PHP代码获取API密钥,并成功连接了Webshell。
🎯
关键要点
- OpenAI发布ChatGPT-3.5到4,引发了第三方开源项目的涌现。
- 某开源项目存在安全漏洞,可能导致API密钥泄露和Webshell权限获取。
- 后台管理功能的二开源码未严格过滤用户输入,导致API密钥泄露。
- adminkey.php文件用于后台操作,包含登录验证和API Key更新功能。
- 更新API Key的过程未对输入进行字符过滤或长度限制,存在安全隐患。
- 通过打印变量和插入PHP代码的方法可以获取API密钥。
- 成功获取API密钥的方法包括使用echo函数和注释法插入代码。
- Webshell写入尝试未成功,但可执行函数和变量调用仍然有效。
- 利用可执行函数创建新文件并写入Webshell代码的尝试成功。
- 最终成功连接Webshell,表明存在严重的安全漏洞。
➡️
