Apache-Skywalking-SQL注入复现+利用(CVE-2020-9483)

已于 2023-03-12 18:01:00 修改
阅读量1.2k 收藏 8
点赞数 4
分类专栏: 漏洞复现 文章标签: skywalking java web安全 apache sql
于 2023-03-12 17:55:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41904294/article/details/129478017
版权

1、产品简介

Apache SkyWalking 是一款应用性能监控(APM)工具,对微服务、云原生和容器化应用提供自动化、高性能的监控方案。项目于 2015 年创建,并于 2017 年 12 月进入 Apache 孵化器。

Apache SkyWalking 提供了分布式追踪,服务网格(Service Mesh)遥感数据分析,指标聚合和可视化等多种能力。项目覆盖范围,从一个单纯的分布式追踪系统,扩展为一个可观测性分析平台(observability analysis platform)和应用性能监控管理系统。
 

2、漏洞概述

当Apache SkyWalking使用H2 / MySQL / TiDB作为Apache SkyWalking存储时,通过GraphQL协议查询元数据时,存在SQL注入漏洞,该漏洞允许访问未指定的数据。 Apache SkyWalking 6.0.0到6.6.0、7.0.0 H2 / MySQL / TiDB存储实现不使用适当的方法来设置SQL参数,结合 h2 数据库(默认的数据库),可以导致 RCE 。

3、影响范围

   Apache Skywalking <= 8.3

4、复现环境

   vulfocus在线靶场

2ed7905754694b9193cd06f7fc9c0c72.png

5、漏洞复现

打开靶场环境访问首页,BP抓包发送Repeater模块

了解本专栏 订阅专栏 解锁全文 超级会员免费看
0xSecl
关注
  • 4
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
注入预防 预编译_Apache SkyWalking SQL注入漏洞复现分析 (CVE-2020-9483) - luzhouxiaoshuai...
weixin_39835117的博客
12-09 194
转载自:https:///article/10971、前言Apache SkyWalking 是一款开源的应用性能监控系统,包括指标监控,分布式追踪,分布式系统性能诊断等。近日,百度云安全团队监测到国内某厂商发布了Apache SkyWalking SQL注入漏洞的风险通告,漏洞编号为CVE-2020-9483。当SkyWalking使用H2、MySQL或者TiDB作为存储方案时,攻击者可通过默认...
apache-skywalking-apm-8.5.0.tar.gz
01-03
apache skywalking apm apache-skywalking-apm-8.5.0.tar.gz apache-skywalking-apm 8.5.0
Apache SkyWalkingSql注入(cve-2020-9483)
鸣蜩十四的博客
09-27 1431
简介 Apache SkyWalking 是一款应用性能监控(APM)工具,对微服务、云原生和容器化应用提供自动化、高性能的监控方案。项目于 2015 年创建,并于 2017 年 12 月进入 Apache 孵化器。 Apache SkyWalking 提供了分布式追踪,服务网格(Service Mesh)遥感数据分析,指标聚合和可视化等多种能力。项目覆盖范围,从一个单纯的分布式追踪系统,扩展为一个可观测性分析平台(observability analysis platform)和应用性能监控管理系统。 漏
CVE-2020-9483 apache skywalking SQL注入漏洞
mirocky的博客
10-13 1266
当使用H2 / MySQL / TiDB作为Apache SkyWalking存储时,通过GraphQL协议查询元数据时,存在SQL注入漏洞,该漏洞允许访问未指定的数据。Apache SkyWalking 6.0.0到6.6.0、7.0.0 H2 / MySQL / TiDB存储实现不使用适当的方法来设置SQL参数。
Apache Skywalking <= 8.3 SQL注入(漏洞分析|snort规则编写)
weixin_68999845的博客
08-21 1076
Apache Skywalking
安全通告 | Apache SkyWalking SQL注入漏洞安全风险公告(CVE-2020-13921)
qcloud_security的博客
08-06 518
近日,腾讯蓝军(force.tencent.com)发现并向Apache SkyWalking官方团队提交SQL注入漏洞漏洞编号:CVE-2020-13921),目前官方已发布新版本修复该漏洞。 为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。 漏洞详情 Apache SkyWalking 是一款应用性能监控(APM)工具,对微服务、云原生和容器化应用提供自动化、高性能的监控方案。其官方网站显示,大量的国内互联网、银行、民航等领域的
CVE-2020-9483Apache SkyWalking 存在的SQL注入漏洞复现
weixin_43923736的博客
06-02 1773
CVE-2020-9483Apache SkyWalking 存在的SQL注入漏洞复现
Apache-Skywalking-SQL注入(CVE-2020-9483)复现
weixin_42558965的博客
10-08 1158
漏洞描述 Apache SkyWalking 是一款应用性能监控(APM)工具,对微服务、云原生和容器化应用提供自动化、高性能的监控方案。当Apache SkyWalking使用H2 / MySQL / TiDB作为Apache SkyWalking存储时,通过GraphQL协议查询元数据时,存在SQL注入漏洞,该漏洞允许访问未指定的数据。 Apache SkyWalking 6.0.0到6.6.0、7.0.0 H2 / MySQL / TiDB存储实现不使用适当的方法来设置SQL参数。 影响版本 Apac
apache-skywalking-java-agent-8.9.0
05-21
apache-skywalking-java-agent-8.9.0 主要监控 jvm 服务
apache-skywalking-apm-es7-8.5.0.tar.gz
03-20
apache-skywalking-apm-es7-8.5.0.tar.gz
apache-skywalking-apm-es7-8.7.0.tar.gz
03-20
apache-skywalking-apm-es7-8.7.0.tar.gz
apache-skywalking-apm-es7-8.0.1.tar
07-29
skywalking es7 tar包。 apache-skywalking-apm-es7-8.0.1.tar
[Vulfocus解题系列]skywalking SQL注入CVE-2020-9483
00勇士王子的博客
01-12 3709
描述 Apache SkyWalking是美国阿帕奇软件(Apache Software)基金会的一款主要用于微服务、云原生和基于容器等环境的应用程序性能监视器。 当使用H2 / MySQL / TiDB作为Apache SkyWalking存储时,通过GraphQL协议查询元数据时,存在SQL注入漏洞,该漏洞允许访问未指定的数据。 复现过程 注:本次复现使用在线靶场http://vulfocus.fofa.so 打开环境 加上路径抓包 /graphql 改成post,加上payload,利用报错注入
SQL注入-过安全apache4.0
m0_60716947的博客
05-15 938
目录 一、安全狗的安装 二、Fuzz 三、过狗 (1)and 绕过 (2)order by 绕过 (3)union select 绕过 (4)database() 绕过 (5)获取其他库 (6)获得所有表 (7)获得所有字段 (8)获得数据 四、总结 一、安全狗的安装 这里有一篇很不错的文章,在安装的过程中出现的问题基本都能在里面找到解决方法 安全狗安装_YsterCcc的博客-CSDN博客_安全狗安装 如果还是不行就找一个装了phpstudy老版本的靶机,比如我上次写.
[CVE-2020-9483/13921]Apache SkyWalking SQL注入
公众号shadow sock7
08-07 2770
参考: https://www.weibo.com/ttarticle/p/show?id=2309404520814409023617 编译好的6.5.0版本: wget https://archive.apache.org/dist/skywalking/6.5.0/apache-skywalking-apm-6.5.0.tar.gz cd apache-skywalking-apm-bin/bin vi oapService.sh 加上调试参数: DEBUG_OPTIONS="-agentlib
vulhub漏洞复现63_Skywalking
weixin_44193247的博客
02-12 446
vulhub漏洞复现练习篇
skywalking修复log4j漏洞
batman
01-19 2273
背景 漏洞产生的原因,在于 Log4j2 允许 JNDI 任意连接服务器,在 org.apache.logging.log4j.core.lookup.JndiLookup#lookup 中,代码如下: @Override public String lookup(final LogEvent event, final String key) { if (key == null) { return null; } final String jndiName = co.
Apache Skywalking =8.3 SQL注入分析复现
黑白的博客
05-11 834
声明 好好学习,天天向上 漏洞描述 Apache SkyWalking 是一款应用性能监控(APM)工具,对微服务、云原生和容器化应用提供自动化、高性能的监控方案。项目于 2015 年创建,并于 2017 年 12 月进入 Apache 孵化器。 Apache SkyWalking 提供了分布式追踪,服务网格(Service Mesh)遥感数据分析,指标聚合和可视化等多种能力。项目覆盖范围,从一个单纯的分布式追踪系统,扩展为一个可观测性分析平台(observability analysis platform
skywalking9.4 链路追踪
最新发布
dj1955的博客
06-11 435
第3行ip写安装的机器ip,端口不变。第2行自定义,一般和微服务名称相同;第1行配置按实际来;
apache-skywalking-apm-es7-8.0.0.tar.gz下载
08-18
要下载apache-skywalking-apm-es7-8.0.0.tar.gz,你可以按照以下步骤进行操作: 第一步,打开你的网络浏览器,进入Apache SkyWalking的官方网站。 第二步,在网站上搜索或导航到下载页面。你可以在网站的顶部或底部找到一个“下载”链接或按钮。 第三步,找到与你需要的版本相匹配的下载链接,即apache-skywalking-apm-es7-8.0.0.tar.gz。根据你使用的操作系统和硬件架构,选择对应的下载链接。 第四步,点击下载链接,开始下载apache-skywalking-apm-es7-8.0.0.tar.gz文件。下载的速度取决于你的网络连接和文件大小。 第五步,等待下载完成。一旦下载完成,你就可以在你的计算机上找到这个文件。在大多数情况下,文件会被保存在你的默认下载目录或你自己设置的目录中。 请注意,下载的文件可能会进行压缩,需要使用压缩工具(如WinRAR或7-Zip)解压缩后才能使用。你还应该检查文件的完整性和安全性,以确保你下载的是经过官方验证的文件。 总结:下载apache-skywalking-apm-es7-8.0.0.tar.gz文件的步骤包括打开官方网站、搜索下载页面、找到对应的下载链接、点击下载并等待完成。最后,解压缩文件并确认文件的完整性和安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

0xSecl

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值