8.0、基础知识
1、测试功能点
(这种情况基本上很难遇到)
8.1、漏洞原理
Jupyter Notebook是一套用于创建、共享代码和说明性文本文档的开源Web应用程序。
Jupyter Notebook可直接使用命令行执行任意命令。
8.2、影响范围
未授权开启终端权限的系统
8.3、指纹识别
1.有主页与明显logo
主页:
logo:
2.网站图标 jupyter
3.指纹识别工具探测
8.4、漏洞复现
点击new---->terminal
(可能出现的问题:terminal无法打开,也就是一个空白页面【过几天再重启靶场就是好的了】)
打开控制台进行命令输入指令,这里我们输入ls /tmp
flag-{bmh2390414e-5d07-47c7-9fb4-12df513695c8}
8.5、修复建议
- 立即更新WebLogic Server到最新版本,因为厂商通常会发布安全补丁来修复已知漏洞。
- 定期监控厂商和安全机构的公告,以获取最新的漏洞信息和修复建议。
- 限制对WebLogic Server的访问权限,只允许经过身份验证的用户或受信任的IP地址访问服务器。
- 配置防火墙和入侵检测系统,以便检测和阻止潜在的恶意访问或攻击。
- 遵循最佳实践,如强密码策略、安全审计等,以提高服务器的安全性。
