influxdb未授权访问漏洞

最新推荐文章于 2024-06-12 13:28:50 发布
最新推荐文章于 2024-06-12 13:28:50 发布
阅读量4.1k 收藏 1
点赞数
分类专栏: vulhub_Writeup 文章标签: 安全漏洞 网络安全 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43416469/article/details/113843301
版权

influxdb未授权访问漏洞

by ADummy

0x00利用路线

​ Influxdb http query接口—> 生成jwt凭证绕过认证 —>任意sql语句执行

0x01漏洞介绍

​ InfluxDB是一个使用Go语言编写的开源分布式,支持高并发的时序数据库,其使用JWT作为鉴权方式。在用户开启了认证,但未设置参数shared-secret的情况下,JWT的认证密钥为空字符串,此时攻击者可以伪造任意用户身份在InfluxDB中执行SQL语句。

​ 影响版本

	Influxdb < 1.7.6

0x02漏洞复现

访问http://your-ip:8086/debug/vars即可查看一些服务信息,但此时执行SQL语句则会出现401错误

在这里插入图片描述

我们借助https://jwt.io/来生成jwt token

{ “alg”: “HS256”, “typ”: “JWT” } { “username”: “admin”, “exp”: 1676346267 }
在这里插入图片描述

发送带有这个jwt token的数据包,可见SQL语句执行成功
在这里插入图片描述

0x03参考资料

https://blog.csdn.net/u010918487/article/details/99541683

https://www.colabug.com/2020/0102/6801890/

ADummy_
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
InfluxDBStudio-0.2.1
03-01
InfluxDB Studio 0.2.1:高效管理InfluxDB数据库的利器》 InfluxDB是一款专为时间序列数据设计的高性能、开源数据库,广泛应用于监控、物联网、大数据分析等领域。为了方便用户对InfluxDB进行管理和操作,...
influxdb详解-从入门到精通
11-25
一、InfluxDB的安装和简介二、InfluxDB安装后web页面无法访问的解决方案三、InfluxDB在windows下的安装和配置四、InfluxDB的关键概念五、InfluxDB的基本操作六、InfluxDB的HTTP API写入操作七、InfluxDB数据保留策略...
spring源码编译问题解决1,Received status code 401 from server问题,not found问题,更换阿里云镜像
tazuxianzai的博客
07-16 5291
问题 用gradlew install或者gradlew build下载spring源码依赖时,报not found与401错误。 原因 not found 是使用的仓库里不存在该文件,比如说你要下gradle插件或者spring依赖,public仓库当然没有,你需要另外加上阿里云的gradle/spring仓库。 –>阿里云仓库官网 你需要加上正确的阿里云仓库,幸运的是我们可以把所有的阿里云仓库地址都放进仓库地址。 401是权限不够,spring仓库部分文件现在需要登陆才能下载,所以报权限错误。
grafana + influxdb 的入门到入土期间的一些问题
u012481812的博客
12-01 538
一点点 关于grafana添加influxdb数据源的方式和问题解决方式
CVE-2019-20933-influxdb授权访问-vulhub
最新发布
c0529的博客
06-12 440
InfluxDB 是一个开源分布式时序、时间和指标数据库,使用 Go 语言编写,无需外部依赖。其设计目标是实现分布式和水平伸缩扩展,是 InfluxData 的核心产品。其使用 jwt 作为鉴权方式。在用户开启了认证,但设置参数 shared-secret 的情况下,jwt 的认证密钥为空字符串,此时攻击者可以伪造任意用户身份在 InfluxDB 中执行SQL语句。
InfluxDB 授权访问漏洞复现
weixin_52125240的博客
03-16 9760
InfluxDB 授权访问漏洞复现 前言:第一次复现漏洞,肯定会有很多不足的地方,这也是
InfluxDB API 授权访问漏洞
weixin_44912035的博客
12-31 1296
InfluxDB是一个使用Go语言编写的开源分布式,支持高并发的时序数据库,其使用JWT作为鉴权方式。在用户开启了认证,但设置参数shared-secret的情况下,JWT的认证密钥为空字符串,此时攻击者可以伪造任意用户身份在InfluxDB中执行SQL语句。 影响版本 InfluxDB < 1.7.6 的版本。 漏洞复现 标识:8086端口 HTTP API 的 X-Influxdb-Version 标志头 ...
解决使用InfluxDBClient报错influxdb.exceptions.InfluxDBClientError: 401 unauthorized
呆萌的代Ma
02-25 3882
查看自己的InfluxDB数据库版本,如果版本是1.8+或是2.x,则:首先卸载influxdb后续使用来连接数据库。
数据库安全:InfluxDB 授权访问-Jwt验证不当 漏洞.
网络安全领域___专研者.
11-11 1238
InfluxDB 是一个开源分布式时序,时间和指标数据库。其数据库是使用​​​​​​​Jwt 作为鉴权方式,在用户开启认证时,如果在设置参数shared-secret的情况下,Jwt 认证密钥为空字符串,这样攻击者就能伪造任意用户身份在 InfluxDB 数据库中执行SQL语句,因此会导致敏感信息泄露和执行威胁到数据库的数据命令.
influxDBStudio
08-05
2. 用户与权限管理:用户可以创建、编辑和删除InfluxDB用户,并设定相应的权限,实现安全的数据访问控制。 3. 表格视图与图表展示:InfluxDBStudio提供数据表格视图和各种图表展示,如折线图、柱状图、饼图等,便于...
influxdb linux 安装包 2.0.8
10-23
InfluxDB是一款开源的时间序列数据库,专为处理大量的时间戳数据而设计,广泛应用于监控、IoT、性能分析等领域。本文将详细介绍如何在Linux系统上安装InfluxDB 2.0.8版本。 首先,我们需要了解InfluxDB的基本概念。...
datax读取InfluxDB组件
04-18
《DataX读取InfluxDB数据库组件详解》 在大数据处理和分析领域,DataX作为阿里巴巴开源的一款数据同步工具,其重要性不言而喻。它支持多种数据源之间的数据迁移,包括关系型数据库、NoSQL数据库以及各种云存储等。...
初识InfluxDB
01-27
InfluxDB的数据模型和其他时序数据库有些许不同,下图是InfluxDB中的一张示意表:1.Measurement:从原理上讲更像SQL中表的概念。这和其他很多时序数据库有些不同,其他时序数据库中Measurement可能与Metric等同,...
Windows 下的 influxdb 客户端 Windows连接influxdb客户端
11-17
在Windows操作系统中,InfluxDB是一个流行的时序数据库系统,常用于存储和分析大量时间序列数据,例如监控数据、物联网(IoT)设备数据或性能指标。为了与InfluxDB进行交互,我们需要一个客户端工具,这正是“Windows...
InfluxDB数据库管理工具InfluxDBStudio
02-07
InfluxDB是一款高性能、专为时间序列数据设计的开源数据库,广泛应用于监控、IoT、实时分析等领域。InfluxDB Studio则是一个强大的图形化管理工具,专为InfluxDB量身打造,旨在提供一个直观、高效的界面来管理和操作...
java操作influxdb时,出现HTTP status code: 401; Message: unauthorized access
qq_40788998的博客
06-19 1972
然后就行了哦,咱也不知道为啥,反正就是每次都要创建新的client。之前创建客户端是这样的。
grafana InfluxDB returned error: error reading influxDB 400错误解决
xie_0723的博客
10-26 1335
【代码】grafana InfluxDB returned error: error reading influxDB 400错误解决。
influxdb修改端口号生效
09-06
如果你在InfluxDB中修改了端口号但生效,可能是由于以下几个原因: 1. 确认新的端口号是否有效:首先,请确保新的端口号是有效的且被其他程序占用。可以尝试选择一个不常用的端口号,比如8001或9000,并确保没有其他应用程序在使用该端口。 2. 重启InfluxDB服务:一旦你修改了InfluxDB的配置文件以更改端口号,你需要重启InfluxDB服务才能使更改生效。你可以使用命令行或服务管理工具来重启InfluxDB。 3. 检查配置文件路径:确保你修改的是正确的配置文件。在Linux系统上,默认的配置文件路径是`/etc/influxdb/influxdb.conf`,而在Windows系统上,默认的配置文件路径是`C:\Program Files\InfluxDB\influxdb.conf`。确认你正在修改的是这些文件。 4. 防火墙问题:如果你的系统启用了防火墙,它可能会阻止InfluxDB的新端口号与外部通信。请确保你已将新的端口号添加到防火墙例外列表中,或者完全关闭防火墙以测试是否是防火墙导致的问题。 如果你仍然无法使新的端口号生效,请检查InfluxDB的日志文件以获取更多信息。你可以在配置文件中指定日志文件的路径,默认情况下,它是`/var/log/influxdb/influxdb.log`(Linux)或`C:\Program Files\InfluxDB\influxdb.log`(Windows)。 希望以上解决方法对你有帮助。如果问题仍解决,请提供更多细节,以便我们能够给予更准确的回答。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值