漏洞分析|CVE-2021-43798 - Grafana文件读取漏洞

最新推荐文章于 2024-05-16 11:58:33 发布
最新推荐文章于 2024-05-16 11:58:33 发布
阅读量2.8k 收藏 6
点赞数 5
文章标签: macos 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42508548/article/details/122061449
版权

0x01 起因

下午的时候,群里突然看到这样一条信息

image.png

貌似是某个0day漏洞被公开了。。。因为前几天刚分析完泛微的漏洞,发现在分析过程中会发现一些有趣的东西,所以这里也尝试进行了分析。当然,在分析之前,还是先自己打一遍,熟悉一下。

0x02 环境搭建&漏洞复现

1、一开始其实我是不知道Grafana是什么的,也如群里师傅说的那样,让我猜,emm...,然后就是万能百度了

image.png

2、大概理解了一下,Grafana是一个完全开源的度量分析与可视化平台,可对来自各种各种数据源的数据进行查询、分析、可视化处理以及配置告警。而clock-panel则是其中的一个插件。 插件地址如下: GitHub - grafana/clock-panel: Clock Panel Plugin for Grafana

image.png

3、然后就是搭建环境了,首先从官网找到安装包和教程,我这里是mac版的 Download Grafana | Grafana Labs

image.png

安装教程这里也很详细写了

image.png

curl -O https://dl.grafana.com/enterprise/release/grafana-enterprise-8.3.0.darwin-amd64.tar.gz
tar -zxvf grafana-enterprise-8.3.0.darwin-amd64.tar.gz

4、按照命令下载并解压文件后,在目录下会获取grafana的文件

image.png

5、根据tomcat的启动来看,一般是在bin文件夹下可以发现一个文件,执行并启动。于是我尝试了一下,果然执行成功了。

cd bin
./grafana-server

image.png

在运行结果的最后面,也看到了端口为3000

image.png

6、于是,环境搭建完成

image.png

7、简单抓个包,尝试打poc,显示插件不存在

image.png

8、一开始我觉得这个poc是假的,然后想想,是不是因为需要特定的插件呢,于是登录进去,安装了clock插件。(默认账号密码都是admin)

image.png

9、再尝试放包后,居然真的读取到了文件(惊呆了,原来mac系统一样有/etc/passwd文件)

image.png

0x03 踩坑-clock插件

1、因为poc为插件clock来产生的,所以我最开始是认为漏洞存在于插件clock中,下载源码进行查看。

image.png

2、看了module.ts、options.ts

image.png

image.png

3、慢慢理解代码之后,发现好像并不是需要看的,而且最起码的,我居然没有搜到“Plugin not found”

image.png

4、卡壳中。。。

0x04 思路转变,发现新poc

1、因为代码分析不出结果,并且通过百度知道,go开发的系统,代码是在.go文件中的,这里明显不对。 思考不出结果之后,我想想,别的插件会不会也有呢?然后看到有个text插件比较容易打字,尝试了一下,居然可以打。

image.png

image.png

2、瞬间思路清晰了,不是因为clock这个插件的问题,而是本身plugins的控制器就存在问题,只要插件存在,便会加载后面路径的文件,并且可以通过../../跨目录。 ​

然后我就下载了grafana的源码 下载地址:Release 8.2.6 (2021-12-02) · grafana/grafana · GitHub

image.png

0x05 开始另类的源码分析

1、看到源码之后,我懵了,因为go语言的web系统基本没接触过,不知道从何下手,于是,我想看看前人是怎么分析漏洞的,百度百度~

image.png

2、然后看到一篇文章,讲的是之前的SSRF漏洞的 挖洞经验 | Grafana应用实例未授权读取型SSRF - FreeBuf网络安全行业门户

image.png

3、没有细看,但是大概理解了,入口一般是在/pkg/api/api.go文件中。使用idea打开项目,访问api.go文件,可以看到很多路径,以我其他代码功底告诉我,这里可以算是路由了。 ​

1)在前几行便可以看到一个包含/plugins/的路径,但是后面好像挺多都是一个叫reqSignedIn的方法,感觉不太对,先跳过。后面了解到reqSignedIn表示需要登录,没有则表示不需要登录。

image.png

2)在第139行,一个路径为/public/plugins/:pluginId/*的路由,调用了getPluginAssets方法。

image.png

2)在284行左右,又看到了/plugins/,但是认真一看,路径不对,按照POC的请求来看,应该是一个类似/public/plugins/:path的请求。

image.png

4、最后确定了请求所对应的方法,全局搜索一下getPluginAssets,快捷键是command+shift+F

image.png

5、一共搜索出5个结果,简单判断便可以知道应该是最后一个(第一个方法不对,第二、三个不是方法定义、第四个是注释),所以方法路径为/pkg/api/plugins.go

image.png

6、打开对应方法,在第259行,后面我会分段对这段代码进行分析。

image.png

7、代码分析1

func (hs *HTTPServer) getPluginAssets(c *models.ReqContext) {
  
  //将pluginId赋值
  pluginID := macaron.Params(c.Req)[":pluginId"]
  
  //从PluginManager获取插件的pluginID
  plugin := hs.PluginManager.GetPlugin(pluginID)
  
  //判断是否为空,为空的话页面返回"Plugin not found",这里也对应了我一开始访问不存在插件的时候无法利用
  if plugin == nil {
    c.JsonApiErr(404, "Plugin not found", nil)
    return
  }

8、代码分析2 join是go语言一种拼接字符串的方式

image.png

  //取出/public/plugins/后面的路径,也就是../../../../../../../etc/passwd
  requestedFile := filepath.Clean(macaron.Params(c.Req)["*"])
  
  //使用join直接拼接插件路径和../../跨目录的路径。
  pluginFilePath := filepath.Join(plugin.PluginDir, requestedFile)
​
  //调用方法IncludedInSignature,方法在/pkg/plugins/models.go,从返回信息便可以判断是检测对文件是否具有权限的
  if !plugin.IncludedInSignature(requestedFile) {
    hs.log.Warn("Access to requested plugin file will be forbidden in upcoming Grafana versions as the file "+
      "is not included in the plugin signature", "file", requestedFile)
  }

9、代码分析3

  // It's safe to ignore gosec warning G304 since we already clean the requested file path and subsequently
  // use this with a prefix of the plugin's directory, which is set during plugin loading
  // nolint:gosec
  
  //前面知道了pluginFilePath便是直接拼接后的路径,也就是指向了/etc/passwd文件
  //这里使用了open方法直接读取文件
  f, err := os.Open(pluginFilePath)
    
  //检测文件读取是否出错
  if err != nil {
    if os.IsNotExist(err) {
      c.JsonApiErr(404, "Plugin file not found", err)
      return
    }
    c.JsonApiErr(500, "Could not open plugin file", err)
    return
  }
  defer func() {
    if err := f.Close(); err != nil {
      hs.log.Error("Failed to close file", "err", err)
    }
  }()
  
  //获取文件属性
  fi, err := f.Stat()
  if err != nil {
    c.JsonApiErr(500, "Plugin file exists but could not open", err)
    return
  }
  //设置header
  if hs.Cfg.Env == setting.Dev {
    c.Resp.Header().Set("Cache-Control", "max-age=0, must-revalidate, no-cache")
  } else {
    c.Resp.Header().Set("Cache-Control", "public, max-age=3600")
  }
​
  //将获取到的信息进行返回(其中fi.ModTime()为文件修改时间)
  http.ServeContent(c.Resp, c.Req, pluginFilePath, fi.ModTime(), f)
}

Stat()可以看详细解释。

image.png

0x06 思考与总结

前面看到,在api.go中通过关键字reqSignedIn选项区分是否需要登录,那么是不是可以将一些不需要登录的接口筛选出来进行检测呢?

另外,在这个漏洞中可以看到,通过直接拼接的方式将加载插件的请求变成了任意文件读取。那么能不能全局搜索filepath.Join(或者os.Open(审计别的接口是否存在同样的问题呢。。。在这里抛砖引玉了~

总结:分析完之后,发现其实可以说是一个加载插件文件的功能点,但是因为对输出信息没有做很好的过滤,导致了输入的信息经过../../跨目录之后,读取到了任意文件内容。修复方案我觉得应该是禁止跨目录吧,限制读取文件的范围就可以基本防护住了~

自己写了个批量验证脚本:https://github.com/j-jasson/CVE-2021-43798-grafana_fileread

文章首发于先知:https://xz.aliyun.com/t/10647

大夜猫
关注
  • 5
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CVE-2021-43798 Grafana 文件读取漏洞
2301_79724395的博客
04-16 874
影响版本 Grafana 8.0.0-beta1 to 8.3.0攻击者可以通过将包含特殊目录遍历字符序列(…/)的特制HTTP请求发送到受影响的设备来利用此漏洞。成功利用该漏洞的攻击者可以在目标设备上查看文件系统上的的任意文件
CVE-2021-43798——Grafana 未授权任意文件读取
LiBai'S BLOG
12-18 1万+
Grafana 未授权任意文件读取~
CVE-2021-43798——Grafana 未授权任意文件读取_grafana未授权访问(2)
最新发布
2401_84519859的博客
05-16 396
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
CVE-2021-43798 Grafana任意文件读取复现
weixin_46137328的博客
01-09 1324
0x00 概述Grafana是一个完全开源的度量分析与可视化平台,可对来自各种各种数据源的数据进行查询、分析、可视化处理以及配置告警。Grafana读取文件接口存在未授权,且未对文件地址...
*CTF 2022web(CVE-2021-43798)
……
09-04 1434
CVE-2021-43798漏洞复现 *CTF 2022web
CVE-2021-21975:Nmap脚本检查漏洞CVE-2021-21975
04-06
CVE-2021-21975 Nmap脚本检查漏洞CVE-2021-21975 漏洞参考: 博客 例子 nmap -p443 --script cve-2021-21975.nse --script-args vulns.showall IP
CVE-2021-21972:CVE-2021-21972漏洞利用
03-04
CVE-2021-21972 CVE-2021-21972工作于VMware-VCSA-all-6.7.0-8217866,VMware-VIM-all-6.7.0-8217866 :heavy_check_mark: VMware-VCSA-all-6.5.0-16613358 :heavy_check_mark:对于vCenter6.7 U2 + vCenter 6.7U2 +在...
OpenSSH 资源管理错误漏洞(CVE-2021-28041)
06-22
OpenSSH 资源管理错误漏洞(CVE-2021-28041) OpenSSH 是一个开源的 SSH 服务器实现,广泛应用于 Linux、Unix 和 Windows 等操作系统中。然而,OpenSSH 也存在一些安全漏洞,其中之一就是资源管理错误漏洞(CVE-2021-...
漏洞复现】Grafana任意文件读取漏洞(CVE-2021-43798)
热门推荐
qq_45244158的博客
12-09 1万+
Grafana 任意文件读取漏洞复现(CVE-2021-43798)
Grafana任意文件读取漏洞CVE-2021-43798)
qq_50854662的博客
06-27 1026
Grafana任意文件读取漏洞
CVE-2021-43798 Grafana 未授权任意文件读取漏洞
dreamthe的博客
12-08 6466
1.漏洞描述 Grafana是一个跨平台、开源的数据可视化网络应用程序平台。用户配置连接的数据源之后,Grafana可以在网络浏览器里显示数据图表和警告。 Grafana 存在未授权任意文件读取漏洞,攻击者在未经身份验证的情况下可通过该漏洞读取主机上的任意文件。 该漏洞危害等级:高危 2.FOFA 查询 app="Grafana" 3.影响范围 根据FOFA最新数据,使用数量前三分别是:美国(67057),中国(30812),德国(25397) 经测试,目前最新版本(Grafana v8.2
Grafana CVE-2020-13379 SSRF漏洞
weixin_42877383的博客
11-25 1737
poc curl -I http://{url}//avatar/%7B%7Bprintf%20%22%25s%22%20%22this.Url%22%7D%7D 效果截图 不存在漏洞 如果使用自签名证书 curl报错,可添加-k参数
漏洞复现】Grafana任意文件读取漏洞 (CVE-2021-43798)
做自己喜欢的事,并将其发挥到极致!
12-08 1167
0X01 漏洞描述 Grafana是一个跨平台、开源的数据可视化网络应用程序平台,用户配置连接的数据源之后,Grafana可以在网络浏览器里显示数据图表和警告。 Grafana 存在未授权任意文件读取漏洞,攻击者在未经身份验证的情况下可通过该漏洞读取主机上的任意文件。 0x02 源码分析 搜索漏洞存在路径 /public/plugins/ 在api.go文件中 r.Get("/public/plugins/:pluginId/*", hs.getPluginAssets) 跟踪对应的 getPlugin
Grafana 任意文件读取漏洞分析与汇总(CVE-2021-43798)
weixin_46801402的博客
11-10 477
Grafana 任意文件读取漏洞分析与汇总(CVE-2021-43798)
漏洞复现】Grafana任意文件读取漏洞(CVE-2021-43798)_grafana漏洞复现
2401_84437170的博客
04-17 661
Grafana是一个跨平台、开源的数据可视化网络应用程序平台。用户配置连接的数据源之后,Grafana可以在网络浏览器里显示数据图表和警告。
Grafana plugins 任意文件读取
06-09 195
圣人之道,吾性自足,不假外求
cve-2021-43798
07-28
CVE-2021-43798是指Grafana中的未经授权的任意文件读取漏洞。攻击者可以利用这个漏洞读取系统上的敏感文件。\[1\] 为了利用这个漏洞,攻击者可以使用curl命令下载Grafana Enterprise 8.3.0版本的压缩包,并解压缩。\[2\]然后,可以使用提供的Python脚本exp.py来执行攻击。该脚本会尝试读取目标服务器上的/etc/passwd文件,以确认是否存在漏洞。\[3\] 需要注意的是,这个漏洞只会影响使用受影响版本的Grafana,并且需要攻击者能够与目标服务器建立连接才能利用漏洞。建议及时更新Grafana以修复这个漏洞,并确保服务器的安全配置和访问控制措施得到有效实施。 #### 引用[.reference_title] - *1* [CVE-2021-43798 Grafana 未经授权的任意文件读取漏洞](https://blog.csdn.net/Jietewang/article/details/121961312)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [漏洞分析CVE-2021-43798 - Grafana文件读取漏洞](https://blog.csdn.net/weixin_42508548/article/details/122061449)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [CVE-2021-43798——Grafana 未授权任意文件读取](https://blog.csdn.net/weixin_44309905/article/details/122008606)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值