[ vulhub漏洞复现篇 ] Grafana任意文件读取漏洞CVE-2021-43798

已于 2022-09-04 23:28:50 修改
阅读量1.8k 收藏 35
点赞数 31
分类专栏: vulhub 文章标签: grafana CVE-2021-43798 任意文件读取漏洞 漏洞复现 web安全
于 2022-09-02 22:00:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51577576/article/details/126633658
版权

🍬 博主介绍

👨‍🎓 博主介绍:大家好,我是 _PowerShell ,很高兴认识大家~
✨主攻领域:【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】
🎉点赞➕评论➕收藏 == 养成习惯(一键三连)😋
🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋
🙏作者水平有限,欢迎各位大佬指点,相互学习进步!

文章目录

了解本专栏 订阅专栏 解锁全文 超级会员免费看
_PowerShell
关注
  • 31
    点赞
  • 35
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 40
    评论
专栏目录
订阅专栏
Xray工具使用(一)
ZPFCD的博客
04-27 2773
xray简介 xray 是一款功能强大的安全评估工具,主要特性有: 检测速度快。发包速度快; 漏洞检测算法高效。 支持范围广。大至 OWASP Top 10 通用漏洞检测,小至各种 CMS 框架 POC,均可以支持。 代码质量高。编写代码的人员素质高, 通过 Code Review、单元测试、集成测试等多层验证来提高代码可靠性。 高级可定制。通过配置文件暴露了引擎的各种参数,通过修改配置文件可以极大的客制化功能。 安全无威胁。xray 定位为一款安全辅助评估工具,而不是攻击工具,内置的所有
vulhub漏洞 CVE-2016-3088
03-14
vulhub漏洞 CVE-2016-3088
漏洞Grafana任意文件读取漏洞(CVE-2021-43798)_grafana漏洞
最新发布
2401_84437170的博客
04-17 473
Grafana是一个跨平台、开源的数据可视化网络应用程序平台。用户配置连接的数据源之后,Grafana可以在网络浏览器里显示数据图表和警告。
常见10种安全漏洞(OWAPS TOP 10)
weixin_39246787的博客
06-04 1万+
常见10中安全漏洞(OWAPS TOP 10)1、注入把一些包含攻击代码当做命令或者查询语句发送给解释器,通常能在SQL查询、LDAP查询、OS命令、程序参数等中出。危害:数据丢失、破坏、甚至完全接管主机2、失效的身份认证和会话管理攻击者破坏密码、会话令牌、或利用实施漏洞冒充其他用户身份危害:导致部分甚至全部账户遭受攻击,攻击者能执行合法用户的任何操作。3、跨站脚本最普遍的web应用安全漏洞。当...
简单聊聊CVE-2020-13379
一个安全研究员
08-04 8018
多次跳转导致的ssrf
网站安全攻防:十大常见漏洞及其防范对策
weixin_43263566的博客
05-13 7355
TOP 10 漏洞(介绍、原理、检测方式、修方案)
HTB-Pandora
weixin_44193247的博客
10-01 2157
HTB_学习篇
Grafana任意文件读取漏洞CVE-2021-43798)
热门推荐
chaojixiaojingang
03-14 2万+
1.漏洞描述 Grafana是一个跨平台、开源的数据可视化网络应用程序平台。用户配置连接的数据源之后,Grafana可以在网络浏览器里显示数据图表和警告。未授权的攻击者利用该漏洞,能够获取服务器敏感文件。 2.影响版本 Grafana 8.0.0 - 8.3.0 3.漏洞环境搭建 更新vulhub目录,进入vulhub/grafana/CVE-2021-43798 docker-compose up –d #下载安装漏洞镜像 访问目标3000端口 4.漏洞 访问...
Grafana 任意文件读取漏洞
MrHatSec的博客
03-16 7265
一、漏洞描述 Grafana存在任意文件读取漏洞,通过默认存在的插件,可构造特殊的请求包读取服务器任意文件 二、漏洞影响 Grafana 8.x 三、漏洞 可以从登陆页面看到版本信息为 v8.2.4,此版本在漏洞射程范围之内 查看当前所使用的插件: /api/plugins?embedded=0 http://10.10.12.120:443/api/plugins?embedded=0 读取 /etc/passwd文件 POC: /public/plugins/welcome
Grafana 未经授权任意访问漏洞CVE-2022-32275)
murphysec的博客
06-08 8732
CVE-2022-32275漏洞是由于Grafana存在未授权访问漏洞,攻击者可以通过特定url,访问任意用户系统界面及读取任意文件。该漏洞影响范围一般。该问题已在新版本中修,建议用户更新到最新版本。参考链接:https://nvd.nist.gov/vuln/detail/CVE-2022-32275 MISC:https://github.com/BrotherOfJhonny/grafana/blob/main/README.md       【使用墨菲安全的开源工具帮您快速检测代码安全】 墨菲安全
Grafana 任意文件读取漏洞分析
weixin_45794666的博客
03-02 2847
Grafana 任意文件读取漏洞分析 CVE-2021-43798 0x01 前言 概述 Grafana是一个跨平台、开源的数据可视化网络应用程序平台。用户配置连接的数据源之后,Grafana可以在网络浏览器里显示数据图表和警告。 影响范围 Grafana 8.0.0-beta1 - 8.3.0 安全版本 Grafana >= 8.3.1 Grafana >= 8.2.7 Grafana >= 8.1.8 Grafana >= 8.0.7 0x02 环境搭建 do
浅谈安全漏洞
kaydenlsr
09-10 2535
一个系统从发布的那一天起,随着用户的深入使用,系统中存在的漏洞会被不断暴露出来,这些早先被发漏洞也会不断被系统供应商发布的补丁软件修补,或在以后发布的新版系统中得以纠正。在CWE站点上列有800多个编程、设计和架构上的错误,CWE文档首先列举的是针对程序员最重要的25项(Top 25),同时也是软件最容易受到攻击的点,从而帮助他们编写更安全的代码。在不同种类的软、硬件设备,同种设备的不同版本之间,由不同设备构成的不同系统之间,以及同种系统在不同的设置条件下,都会存在各自不同的安全漏洞问题。
网络安全常见十大漏洞总结(原理、危害、防御)_网络安全常见漏洞类型
Innocence_0的博客
10-02 1512
与个人习惯和安全意识相关,为了避免忘记密码,使用一个非常容易记住 的密码,或者是直接采用系统的默认密码等。
prometheus+grafana漏洞汇总
qq_44657899的博客
02-23 1万+
文章目录基本介绍grafanaprometheus 基本介绍 prometheus+grafana一般合起来用,作用是监控 以下介绍部分参考:prometheus+grafana监控设置 Prometheus(普罗米修斯)是一套开源的监控&报警&时间序列数据库的组合,起始是由SoundCloud公司开发的。随着发展,越来越多公司和组织接受采用Prometheus,社会也十分活跃,他们便将它独立成开源项目,并且有公司来运作。Google SRE的书内也曾提到跟他们BorgMon监控系统相似的实
cve-2021-3618漏洞
02-06
CVE-2021-3618漏洞是指影响了Mozilla Firefox浏览器的一个安全漏洞。该漏洞步骤如下: 1. 首先,你需要安装最新版本的Mozilla Firefox浏览器。确保你的浏览器已经更新到最新版本,因为最新版本通常会修已知的漏洞。 2. 在Firefox浏览器中,打开一个新的标签页,并输入“about:config”(不包括引号)并按下Enter键。这将打开Firefox的高级配置页面。 3. 在搜索栏中输入“security.sandbox.content.level”(不包括引号),然后按下Enter键。你将看到一个名为“security.sandbox.content.level”的首选项。 4. 将“security.sandbox.content.level”的值更改为“0”(不包括引号)。这将禁用Firefox的内容沙箱。请注意,这将降低浏览器的安全性,请谨慎操作。 5. 关闭并重新启动Firefox浏览器,使更改生效。 6. 在,你可以尝试CVE-2021-3618漏洞。使用Firefox浏览器访问一个存在安全漏洞的网站,如已知的恶意或受攻击的网站,或使用特定的payload触发漏洞。 7. 如果成功,可能会出安全漏洞所导致的异常行为,比如系统崩溃、恶意代码执行等。如果没有出异常行为,可能是因为已经修了该漏洞或在你的环境中无法成功利用。 需要注意的是,CVE漏洞可能存在风险,并可能对你的计算机造成不可逆转的损害。这种操作只适用于在合法情况下进行安全测试和研究的专业人士,不推荐普通用户进行尝试。实施操作之前,请确认你已经了解并接受相关风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 40
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

_PowerShell

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值