apache-zeppelin 命令执行 (CNVD-2019-33156)
目录
1、漏洞描述
2、访问映射80端口
3、点击Create New Note,执行Linux反弹,选择sh,并创建note
4、执行反弹命令,并点击运行
5、公网服务器监听并成功反射
1、漏洞描述
Apache Zeppelin是一款基于Web的NoteBook,支持交互式数据分析。使用Zeppelin,可以使用丰富的预构建语言后端(或解释器)制作精美的数据驱动,交互式和协作文档 Apache Zeppelin 存在未授权的用户访问命令执行接口,导致了任意用户都可以执行恶意命令获取服务器权限
2、访问映射80端口
3、点击Create New Note,执行Linux反弹,选择sh,并创建note
4、执行反弹命令,并点击运行
5、公网服务器监听并成功反射
