Jupyter Notebook 未授权访问漏洞

实验要求

漏洞环境：Jupyter Notebook 未授权访问漏洞

1. 复现环境中的未授权访问漏洞，登录Jupyter Web管理界面，截图证明
2. 利用Jupyter Notebook控制台执行系统命令，读取/etc/passwd内容，提供截图

靶场搭建

运行测试环境：

docker compose up -d

运行后，访问http://your-ip:8888将看到Jupyter Notebook的Web管理界面，并没有要求填写密码。

漏洞复现

选择 new -> terminal 即可创建一个控制台：

可以直接执行任意命令：

读取/etc/passwd内容