V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
calvinclark
V2EX  ›  程序员

X 平台看到一个脚本

  •  
  •   calvinclark · 18 天前 · 7053 次点击
    bash <(curl -Ls http://IP.Check.Place)
    
    

    第 1 条附言  ·  17 天前

    感谢11楼朋友发来线报

    这个脚本在 github 有开源的。 https://github.com/xykt/IPQuality

    35 条回复    2024-07-10 11:17:06 +08:00
    esee
        1
    esee  
       18 天前
    ???难不成你还真的直接执行?
    ETiV
        2
    ETiV  
       18 天前   ❤️ 3
    有这种攻击的 POC

    同一个脚本 URL ,浏览器访问 & curl 访问可以响应不同的内容
    kk2syc
        3
    kk2syc  
       18 天前
    哈哈,来路不明的 shell 直接执行
    calvinclark
        4
    calvinclark  
    OP
       18 天前
    @kk2syc 没敢执行,这事原 po 主的图
    boywang004
        5
    boywang004  
       18 天前
    这和陌生邮件收个 .exe 直接双击有啥区别。
    zjp
        6
    zjp  
       18 天前
    还支持一键升级 Bash 到 4.0 版本,有点贴心了😂
    lithiumii
        7
    lithiumii  
       18 天前 via Android
    下下来看看再执行不就行了?看内容像是综合了一堆 api ?
    ntedshen
        8
    ntedshen  
       18 天前
    https://pastebin.mozilla.org/ovsprvMU

    乍一看倒是若有其事的样子。。。
    具体有冇埋什么炸弹就不晓得了。。。
    MatrixLau
        9
    MatrixLau  
       18 天前 via iPhone
    看着头头是道 但是不敢跑🤣
    Andim
        10
    Andim  
       18 天前
    看到这个,我想起来了,前几天有人在本站发过这个 链接

    https://v2ex.com/t/1051493
    june4
        11
    june4  
       18 天前
    不但要信任作者没坏心眼,同时也要信任作者安全工作做得到位不被挂马
    d7101120120
        12
    d7101120120  
       18 天前
    这个脚本在 github 有开源的。

    https://github.com/xykt/IPQuality
    koast
        13
    koast  
       17 天前
    说实话 如果它指向的链接是 raw.githubcontent.com 我点进去看看作者还敢运行 这种个人域名说实话不敢。就怕它分发的内容我看到的和实际执行的不一样 或者干脆就是概率性的随机返回正常和不正常的内容。点进去看好像没啥特别的,就是调用一堆接口传进去 IP 查信息,有条件做成 serverless 托管到 cf 上之类的变成类似 curl ip.sb 这样的就没有这种顾虑了
    pikko
        14
    pikko  
       17 天前
    那个数据统计……不显示还好,一显示我心慌
    drymonfidelia
        15
    drymonfidelia  
       17 天前 via iPhone
    @koast 这里面很多 api 必须从本机调用
    FlossStunning
        16
    FlossStunning  
       17 天前
    浏览器访问会直接跳转到 https://raw.githubusercontent.com/xykt/IPQuality/main/ip.sh
    如果担心作者加料的话可以把网址替换成这个
    chanwang
        17
    chanwang  
       17 天前 via Android
    @FlossStunning 担心加料难道不应该是把脚本下回来展开查看吗? 用 GitHub 链接就安全了吗?
    xyholic
        18
    xyholic  
       17 天前
    真想这样用,代码过一遍自己搭
    me1onsoda
        19
    me1onsoda  
       17 天前
    这种一键下载脚本是真危险还不是 https ,中间人给你加点料😅
    Tink
        20
    Tink  
       17 天前
    看了一下源码,还好
    syntaxj
        21
    syntaxj  
       17 天前
    自从看了之前那个长滚动条滚到最右边给你加点料的源码后 现在看源码都得滚一滚😂
    Fred0410
        22
    Fred0410  
       17 天前
    已经装在下载机的虚拟机上使用哈哈哈
    NessajCN
        23
    NessajCN  
       17 天前
    你们担心脚本恶意的,直接
    curl http://IP.Check.Place
    下来看一眼不就完了.....
    StinkyTofus
        24
    StinkyTofus  
       17 天前
    有什么不敢的, 直接执行。
    JohnYep
        25
    JohnYep  
       17 天前
    刚刚试了一下不知道是什么


    https://report.check.place/IP/1ORQORGPY.svg
    mingtdlb
        26
    mingtdlb  
       17 天前
    @chanwang git 有提交历史可以看,开源问题不大。
    mingwiki
        27
    mingwiki  
       17 天前
    用的 fish ,上来就执行失败了,直接在服务器操作的,想想有点害怕。
    hi2hi
        28
    hi2hi  
       17 天前
    MJJ 的娱乐脚本,已经出了快一个月了,作者 xy ,也是一位 mjj
    wuyadaxian
        29
    wuyadaxian  
       17 天前
    一键脚本只适合娱乐,建议新建虚拟机隔离运行。用完就删虚拟机。
    x86
        30
    x86  
       17 天前
    老早就在用了,之前就缝合怪不过展现的没这么好看而已
    kevintao1024
        31
    kevintao1024  
       17 天前
    我想问 怎么上传的图片?
    maemolee
        32
    maemolee  
       16 天前
    这些字段知道了有啥用?
    DosLee
        33
    DosLee  
       16 天前
    @kevintao1024 有语法学一下就行。不想学搜索一下 V2EX polish 插件(类似插件很多,自己选择,这里不做推荐)。安装后直接复制粘贴图片,插件会自己上传图床并展示
    nyxsonsleep
        34
    nyxsonsleep  
       2 天前
    挂在 docker 里面跑一下不就行了。
    nyxsonsleep
        35
    nyxsonsleep  
       2 天前
    @nyxsonsleep #34 如果能逃逸 docker 虚拟环境,应该舍不得公开出来吧。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2563 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 13:47 · PVG 21:47 · LAX 06:47 · JFK 09:47
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.