八、【漏洞复现】jupyter-notebook 命令执行（CVE-2019-9644）

8.0、基础知识

1、测试功能点

（这种情况基本上很难遇到）

8.1、漏洞原理

​Jupyter Notebook是一套用于创建、共享代码和说明性文本文档的开源Web应用程序。

Jupyter Notebook可直接使用命令行执行任意命令。​

8.2、影响范围

未授权开启终端权限的系统 

8.3、指纹识别

1.有主页与明显logo

主页：

logo：

2.网站图标 jupyter 

3.指纹识别工具探测

8.4、漏洞复现

点击new---->terminal

(可能出现的问题：terminal无法打开，也就是一个空白页面【过几天再重启靶场就是好的了】)

 打开控制台进行命令输入​指令，这里我们输入ls /tmp

flag-{bmh2390414e-5d07-47c7-9fb4-12df513695c8}

8.5、修复建议

1. 立即更新WebLogic Server到最新版本，因为厂商通常会发布安全补丁来修复已知漏洞。
2. 定期监控厂商和安全机构的公告，以获取最新的漏洞信息和修复建议。
3. 限制对WebLogic Server的访问权限，只允许经过身份验证的用户或受信任的IP地址访问服务器。
4. 配置防火墙和入侵检测系统，以便检测和阻止潜在的恶意访问或攻击。
5. 遵循最佳实践，如强密码策略、安全审计等，以提高服务器的安全性。