热门标签
热门文章
- 1【C++】带三维重建和还原的RIS/PACS源码_c++三维重建
- 2【2023年】云计算金砖牛刀小试
- 3Linux 中的特殊文件权限:SUID、GUID 和 Sticky
- 42024年Java最全2024突击大厂必备Java面试资源大礼包:2800面试题金三银四稳了,万字长文总结Java多进程
- 5Java中的三元运算符_java写两个三元运算符
- 6【Android】kotlin - 异步方法里调用delay 延时器和toast的问题
- 7大模型面经之llm在任务型对话系统中的评价指标_llm 任务型机器人 意图识别
- 8如何使用LangChain自定义agent的制作(1) - 自定义一个可以执行 SQL 查询的 Agent_langchain sql agent
- 9无法访问 www.docker.com 如何安装 docker_docker官网无法访问
- 10AndroidStudio汉化_android studio 2024.1 汉化补丁
当前位置: article > 正文
Jupyter Notebook 未授权访问 漏洞复现_notebook-rce漏洞复现
作者:我家自动化 | 2024-08-06 03:44:15
赞
踩
notebook-rce漏洞复现
一、漏洞描述
Jupyter Notebook(此前被称为 IPython notebook)是一个交互式笔记本,支持运行 40 多种编程语言。
如果管理员未为 Jupyter Notebook 配置密码,将导致未授权访问漏洞,游客可在其中创建一个 console 并执行任意 Python 代码和命令。
二、漏洞影响
三、漏洞复现
1、环境搭建
使用 Vulhub 在服务器上搭建:
cd /vulhub/jupyter/notebook-rce
docker-compose up -d
- 1
- 2
运行后,访问http://x.x.x.x:8888将看到 Jupyter Notebook 的 Web 管理界面,并没有要求填写密码:
2、漏洞复现
从 New -> Terminal 新建一个终端:
通过新建的终端可执行任意命令:
四、漏洞POC
访问http://x.x.x.x:8888将看到 Jupyter Notebook 的 Web 管理界面,并没有要求填写密码。
结合反弹shell 或者直接写入 webshell 均可拿到目标权限。
五、参考链接
https://github.com/vulhub/vulhub/tree/master/jupyter/notebook-rce
声明:本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:【wpsshop博客】
推荐阅读
相关标签
