【漏洞复现-jupyter_notebook-命令执行】vulfocus/jupyter_notebook-cve_2019_9644

简介: 【漏洞复现-jupyter_notebook-命令执行】vulfocus/jupyter_notebook-cve_2019_9644

前言:


介绍:

博主:网络安全领域狂热爱好者(承诺在CSDN永久无偿分享文章)。

殊荣:CSDN网络安全领域优质创作者,2022年双十一业务安全保卫战-某厂第一名,某厂特邀数字业务安全研究员,edusrc高白帽,vulfocus、攻防世界等平台排名100+、高校漏洞证书、cnvd原创漏洞证书等。


擅长:对于技术、工具、漏洞原理、黑产打击的研究。


C站缘:C站的前辈,引领我度过了一个又一个技术的瓶颈期、迷茫期。


导读:


面向读者:对于网络安全方面的学者。

本文知识点:

(1)发现功能点上的命令执行(√)


让读者如虎添翼


命令、代码执行博文 目标 状态
【漏洞复现-jupyter_notebook-命令执行】vulfocus/jupyter_notebook-cve_2019_9644 发现功能点上的命令执行 已发布
【漏洞复现-solr-命令执行】vulfocus/solr-cve_2019_17558 寻找模板(接口、配置文件)的命令执行漏洞 已发布
【漏洞复现-seaCms-命令执行】vulfocus/seacms-cnvd_2020_22721 写入可执行文件 已发布


一、靶场环境


1.1、平台:


Vulfocus 漏洞威胁分析平台

123.58.224.8:43763

0eafcd14b92f464ea77f282f63bd08c0.png

84d06abc64a24c90a271285724335858.png

1.2、知识:


1、测试功能点

(这种情况基本上很难遇到)


1.3、描述:


Jupyter Notebook是一套用于创建、共享代码和说明性文本文档的开源Web应用程序。

Jupyter Notebook可直接使用命令行执行任意命令。


二、漏洞验证


2.1、分析:


点击new---->terminal

(可能出现的问题:terminal无法打开,也就是一个空白页面【过几天再重启靶场就是好的了】)

0f638b104cec41dabe8a68a7ba44dce1.png

打开控制台进行命令输入

97ec987434ea42cbb81cf56eb1986b77.png


7d62be979184459ab44139ed85f387fe.png


网络安全三年之约


First year


掌握各种原理、不断打新的靶场


目标:edusrc、cnvd


主页 | 教育漏洞报告平台 (sjtu.edu.cn)https://src.sjtu.edu.cn/https://www.cnvd.org.cnhttps://www.cnvd.org.cn/


Second year


不断学习、提升技术运用技巧,研究各种新平台

开始建立自己的渗透体系

目标:众测平台、企业src应急响应中心


Third Year


学习最新的知识,建全自己的渗透体系

目标:参与护网(每一个男孩子心中的梦想)

时间:一般5月面试,6/7月开始(持续2-3周)

分类:国家级护网、省级护网、市级护网、重大节日护网(如:建党、冬奥等)



目录
相关文章
|
4月前
|
SQL 数据可视化 数据库
jupyter中那些神奇的第三方拓展魔术命令
jupyter中那些神奇的第三方拓展魔术命令
jupyter中那些神奇的第三方拓展魔术命令
|
3月前
|
Shell
自定义 jupyter 魔法命令
自定义 jupyter 魔法命令
62 0
|
4月前
|
机器学习/深度学习 数据挖掘 Shell
Jupyter notebook中5个有趣的魔法命令
Jupyter notebook中5个有趣的魔法命令
|
Docker Python Windows
1行命令搭建自己的python服务器,docker,安装 jupyter
1行命令搭建自己的python服务器,docker,安装 jupyter
175 0
|
Python
Jupyter-notebook 常用魔法命令
本文分享了一些常用到的 Jupyter-notebook 软件的快捷键以及 魔法命令,以供学习
219 0
|
存储 IDE 开发工具
9个可以提高Jupyter Notebook开发效率的魔术命令
9个可以提高Jupyter Notebook开发效率的魔术命令
552 0
9个可以提高Jupyter Notebook开发效率的魔术命令
|
数据挖掘 Python
【DSW Gallery】Jupyter魔术命令使用技巧
Jupyter Notebook除了能够执行Python代码之外,还提供一些魔术命令(Magic Command)方便用户简洁地解决标准数据分析中的各种常见问题,本文介绍几个常见的魔术命令使用技巧。
【DSW Gallery】Jupyter魔术命令使用技巧
|
6月前
|
数据采集 机器学习/深度学习 数据可视化
使用Jupyter Notebook进行数据分析:入门与实践
【6月更文挑战第5天】Jupyter Notebook是数据科学家青睐的交互式计算环境,用于创建包含代码、方程、可视化和文本的文档。本文介绍了其基本用法和安装配置,通过一个数据分析案例展示了如何使用Notebook进行数据加载、清洗、预处理、探索、可视化以及建模。Notebook支持多种语言,提供直观的交互体验,便于结果呈现和分享。它是高效数据分析的得力工具,初学者可通过本文案例开始探索。
|
4月前
|
Python
Jupyter Notebook又一利器nbterm,在终端玩notebook!
Jupyter Notebook又一利器nbterm,在终端玩notebook!
|
6月前
|
文字识别 异构计算 Python
关于云端Jupyter Notebook的使用过程与感想
在自学Python时,由于家庭电脑使用冲突和设备老旧,转向云端平台。体验了多个服务:1. 魔搭modelscope(最喜欢,赠送资源丰富,社区活跃),2. Colaboratory(免费GPU,但有时重启,建议用阿里云),3. Deepnote(免费环境有限,但GPT-4代码生成功能强大),4. 飞桨aistudio(适合PaddlePaddle用户),5. ModelArts(曾有免费实例,现难找)。综合来看,阿里云的稳定性与服务更优,尤其是魔搭的自动代码修正功能。对于AIGC,推荐魔搭和付费版PAI-DSW。欢迎分享更多云端Jupyter平台体验。
351 1