Grafana是一个跨平台、开源的数据可视化网络应用程序平台,用户配置连接的数据源之后,Grafana可以在网络浏览器里显示数据图表和警告。
Grafana存在未授权任意文件读取漏洞,攻击者在未经身份验证的情况下可以通过该漏洞读取主机上的任意文件。
cve:暂无
漏洞类型:文件读取
影响:获取敏感信息
简述:未授权的攻击者利用该漏洞,能够获取服务器敏感文件
1. fofa查询:app=“Grafana”
2. 使用此链接里面的文件:https://xxxxxx.com/ScorpionsMAX/Grafana-loophole
下载下来。
3. 测试的IP地址为:xx.xxx.177.1:3000
4. 运行python脚本:
5. bp抓包试一下:
单个脚本测试成功!
批量测试未成功...
原文始发于微信公众号(LSCteam):Grafana 未授权任意文件读取
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论