apache-zeppelin 命令实行 (CNVD-2019-33156)
目录1、漏洞形貌
2、访问映射80端口
3、点击Create New Note,实行Linux反弹,选择sh,并创建note
4、实行反弹命令,并点击运行
5、公网服务器监听并成功反射
1、漏洞形貌
Apache Zeppelin是一款基于Web的NoteBook,支持交互式数据分析。利用Zeppelin,可以利用丰富的预构建语言后端(或解释器)制作精美的数据驱动,交互式和协作文档 Apache Zeppelin 存在未授权的用户访问命令实行接口,导致了任意用户都可以实行恶意命令获取服务器权限
2、访问映射80端口
https://i-blog.csdnimg.cn/direct/531d2800a3a84d32832ae996daaca9a8.png
3、点击Create New Note,实行Linux反弹,选择sh,并创建note
https://i-blog.csdnimg.cn/direct/857ad402786c4b83bb6ff7375b58b749.png
4、实行反弹命令,并点击运行
https://i-blog.csdnimg.cn/direct/efd134ef6efe4f66bc7bebb31e87c781.png
5、公网服务器监听并成功反射
https://i-blog.csdnimg.cn/direct/df7eba26382e4192b56b43e7ef5d3971.png
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]