现实告诉我：保持好奇心，享受孤独

Jupyter Notebook 未授权访问漏洞

发表于 2021-08-23 | 分类于漏洞复现 |

Jupyter Notebook（此前被称为 IPython notebook）是一个交互式笔记本，支持运行 40 多种编程语言。

如果管理员未为Jupyter Notebook配置密码，将导致未授权访问漏洞，游客可在其中创建一个console并执行任意Python代码和命令。

漏洞复现

运行后，访问http://192.168.44.132:8888将看到Jupyter Notebook的Web管理界面，并没有要求填写密码。

选择 new -> terminal 即可创建一个控制台：

直接执行任意命令：

本文作者： joker0xxx3
本文链接： http://joker-vip.github.io/2021/08/23/Jupyter%20Notebook%20%E6%9C%AA%E6%8E%88%E6%9D%83%E8%AE%BF%E9%97%AE%E6%BC%8F%E6%B4%9E/
版权声明： 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 3.0 许可协议。转载请注明出处！

0%