Jupyter Notebook 未授权访问远程命令执行漏洞

最新推荐文章于 2024-05-21 08:00:00 发布
最新推荐文章于 2024-05-21 08:00:00 发布
阅读量989 收藏 1
点赞数
分类专栏: 网络安全 web安全 渗透测试 漏洞复现 文章标签: 渗透测试 漏洞复现 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010025272/article/details/132135787
版权

漏洞描述

Jupyter是一个开源的交互式计算环境,它支持多种编程语言,包括Python、R、Julia等。Jupyter的名称来源于三种编程语言的缩写:Ju(lia)、Py(thon)和R。

Jupyter的主要特点是它以笔记本(Notebook)的形式组织代码、文本和多媒体内容。笔记本可以包含代码、注释、图表、公式和可运行的代码块。这使得Jupyter非常适合用于数据分析、机器学习、数据可视化和教学等领域。
如果管理员未为Jupyter Notebook配置密码,将导致未授权访问漏洞,游客可在其中创建一个console并执行任意Python代码和命令。
在这里插入图片描述

免责声明

技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!

资产确定

app=“Jupyter-Notebook” && body=“Terminal”
#漏洞复现

漏洞复现

在这里插入图片描述
在这里插入图片描述

修复方案

丢了少年失了心1
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
漏洞复现】Jupyter Notebook授权访问到RCE
Fly_鹏程万里
06-20 46
Jupyter Notebook(此前被称为IPython notebook)是一个交互式笔记本,支持运行40多种编程语言,Jupyter Notebook的本质是一个Web应用程序,便于创建和共享程序文档,支持实时代码,数学方程,可视化和 markdown,如果管理员Jupyter Notebook配置密码将导致授权访问漏洞,游客可在其中创建一个console并执行任意Python代码和命令
记录一次vulhub:Jupyter Notebook 授权访问漏洞复现
sszsNo1的博客
06-27 508
复现vulhub:Jupyter Notebook 授权访问漏洞
授权访问Jupyter Notebook 授权访问漏洞
最新发布
qq_68163788的博客
05-21 596
Jupyter Notebook(此前被称为 IPython notebook)是一个交互式笔记本,支持运行 40 多种编程语言。 如果管理员Jupyter Notebook配置密码,将导致授权访问漏洞,游客可在其中创建一个console并执行任意Python代码和命令
jupyter-notebook 命令执行 (CVE-2019-9644)漏洞复现
weixin_42675091的博客
09-23 1283
jupyter-notebook 命令执行 (CVE-2019-9644)漏洞复现
漏洞复现-jupyter_notebook-命令执行】vulfocus/jupyter_notebook-cve_2019_9644
10-24 1856
jupyter_notebook-命令执行】功能点
八、【漏洞复现】jupyter-notebook 命令执行(CVE-2019-9644)
weixin_52351575的博客
09-21 459
Jupyter Notebook是一套用于创建、共享代码和说明性文本文档的开源Web应用程序。(可能出现的问题:terminal无法打开,也就是一个空白页面【过几天再重启靶场就是好的了】)Jupyter Notebook可直接使用命令执行任意命令。打开控制台进行命令输入​指令,这里我们输入ls /tmp。点击new---->terminal。2.网站图标 jupyter。(这种情况基本上很难遇到)授权开启终端权限的系统。1.有主页与明显logo。3.指纹识别工具探测。
Jupyter Notebook 授权访问漏洞总结
qq_45746681的博客
10-05 1773
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、Jupyter Notebook 授权访问漏洞是什么?二、复现1.搭建环境漏洞利用三、防御方法 前言 记录并自己复现下常见的授权访问漏洞 一、Jupyter Notebook 授权访问漏洞是什么? Jupyter Notebook(此前被称为 IPython notebook)是一个交互式笔记本,支持运行 40 多种编程语言。 如果管理员Jupyter Notebook配置密码,将导致授权访问漏洞,游客可在其中
Jupyter notebook远程访问服务器的方法
12-25
一直苦恼于本地机器和服务器上都要配置一些机器学习方面的环境,今天花了点时间研究了下Jupter notebook远程访问服务器,所以记录一下。 有些步骤非必须,这里尽量写清楚,读者理解后自行决定如何安装,本文以非root...
VScode连接远程服务器上的jupyter notebook的实现
09-17
本篇文章将详细介绍如何使用VScode连接到远程服务器上的Jupyter Notebook,从而实现远程开发环境的搭建。 首先,确保你的本地计算机和远程服务器之间已经配置了SSH连接。SSH(Secure Shell)是一种网络协议,用于...
Jupyter Notebook远程登录及密码设置操作
09-17
首先,为了远程访问Jupyter Notebook,我们需要生成一个配置文件。在本地计算机上,打开Anaconda Prompt或终端,输入`jupyter notebook --generate-config`。这将创建一个名为`.jupyter/jupyter_notebook_config.py`...
jupyter notebook中主题皮肤设置命令 jt 的命令行选项记录
01-09
Jupyter Notebook主题皮肤库都是 jt 开头,选项如下: 使用帮助:-h 主题列表: -l 主题名称安装: -t 代码的字体: -f 代码字体大小: -fs(默认值:11 ) Notebook 字体: -nf Notebook 字体大小: -nfs( 默认值...
Jupyter Notebook 授权访问漏洞
锋刃科技的博客
07-05 1636
前言 Jupyter Notebook(此前被称为 IPython notebook)是一个交互式笔记本如果管理员Jupyter Notebook配置密码,将导致授权访问漏洞,游客可在其中创建一个console并执行任意Python代码和命令。 创建docker-compose.yml文件并写入内容 version: '2' services: web: image: vulhub/jupyter-notebook:5.2.2 command: start-notebook.sh
Jupyter Notebook授权访问 getshell——漏洞复现
W小哥
11-05 1713
一、 Jupyter Notebook介绍 Jupyter Notebook(此前被称为 IPython notebook)是基于网页的用于交互计算的应用程序,是一个交互式笔记本,支持运行 40 多种编程语言。Jupyter Notebook是以网页的形式打开,可以在网页页面中直接编写代码和运行代码,代码的运行结果也会直接在代码块下显示。 二、Docker API 授权访问介绍 如果管理员Jupyter Notebook配置密码,将导致授权访问漏洞,游客可在其中创建一个console并执行任意Pyt
常用的30+种授权访问漏洞汇总
qq_50854662的博客
09-17 5261
常用的30+种授权访问漏洞汇总
CVE-2018-14418 擦出新火花
weixin_30663391的博客
09-11 1048
笔者《Qftm》原文发布:https://xz.aliyun.com/t/6223 0x00 前言 最近,一次授权的渗透测试项目意外的撞出了(CVE-2018-14418)新的火花,在这里分享给大家,同时简单记录一下自己的渗透测试过程,一些敏感信息已打码,相关漏洞已报送厂商修复。 0x01 Msvod Cms SQL注入漏洞原始 详解 漏洞ID 1226187 漏洞类型 SQL注入...
Jupyter Notebook的三大短板,都被这个新工具补齐了
量子位
09-11 4637
夏乙 发自 凹非寺量子位 出品 | 公众号 QbitAI在机器学习和数据科学领域,Jupyter已经家喻户晓。它把笔记、代码、图表、注释融合在一个交互式的笔记本里,还能添...
暴力去除jupyter notebook密码
zyb418的专栏
03-07 1188
1、到%userprofile%\.jupyter文件夹去,如下图,直接删除jupyter_notebook_config.json 备注:%userprofile%,可以在windows cmd命令窗口下输入echo %userprofile%查看路径,如下图: ...
jupyter notebook远程访问
09-13
要实现Jupyter Notebook的远程访问,可以按照以下步骤进行操作: 1. 首先,在终端中运行命令`conda install jupyter notebook`来安装Jupyter Notebook。 2. 安装完成后,可以使用以下命令来启动Jupyter Notebook并允许远程访问: ``` nohup jupyter notebook --allow-root > jupyter.log 2>&1 & ``` 3. 运行上述命令后,Jupyter Notebook将在后台启动,并且日志将被记录在`jupyter.log`文件中。现在,你可以通过浏览器访问Jupyter Notebook的Web界面。 4. 默认情况下,Jupyter Notebook只能在本地进行访问,如果你希望允许远程访问,可以修改Jupyter Notebook的配置文件。 5. 打开终端,运行以下命令来编辑Jupyter Notebook的配置文件: ``` jupyter notebook --generate-config ``` 6. 这将在用户主目录下生成一个名为`jupyter_notebook_config.py`的配置文件。你可以使用任何文本编辑器打开它。 7. 在配置文件中搜索`c.NotebookApp.allow_remote_access`,并将其设置为`True`。如果找不到该行,可以手动添加以下内容: ``` c.NotebookApp.allow_remote_access = True ``` 8. 保存配置文件并退出。 9. 现在,重新启动Jupyter Notebook,你将可以通过网络IP地址或主机名访问Jupyter Notebook的Web界面,并进行远程操作。 请注意,开放远程访问可能会带来安全风险,请确保在安全的网络环境中进行操作,并根据需要采取适当的安全措施。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

丢了少年失了心1

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值