正片开始。
那是一个下午,我给我家哥哥发了个消息。
我家哥哥也是毫不吝啬,直接就带我练起了篮球技术。
话不多说,直接就拿起篮球(burp)开造,随后就进入了漫长的运球环节,奈何篮球技术有限,运球好一会儿也没分上啊。
突然
不得不说,还得是我家哥哥的篮球技术屌。然后我就疯狂向我家哥哥请教上分技巧。
然后我就纳闷了,我怎么没搜到这个资产呢。原来是我家哥哥上分已经上出经验来了,一来就盯着grafana打,而我是毫无目的挨个看,这就是篮球技术差距啊。一个grafana未授权就直接被我家哥哥拿下了。
要说grafana是资产收集问题呢,那我家哥哥接下来的操作就真的是上分姿势问题了。
然后我琢磨了老半天也没明白,我家哥哥直接给我一个铁山靠点醒我。
原来是运维惯用的套路,把两个系统挂同一个ip上,一个业务系统和一个grafana监控系统。
grafana系统都存在未授权漏洞了,可知这个资产是脆弱资产了,果不其然,这个业务系统也是直接给我家哥哥上了波大分。
虽然自己又是一波白干,但是跟我家哥哥学到一波技术也是收获满满。
总结:grafana有一些未授权等历史漏洞,而很多企业会用grafana系统,所以我们可以时不时盯着这种脆弱系统,在上线初期很有可能有nday,然后grafana一般会对应业务系统,所以我们可以关注这个grafana系统对应的ip,看看这个ip下的其他系统,很有可能就会收获意外之喜哈。
以上内容全部是小黑子个人理解,需要纠错提建议的的小黑子大黑客们后台私聊。创作不易,喜欢小黑子的可以转发点赞赞赏走一波,非常感谢。
特别声明:
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,我不为此承担任何责任。
作者有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经作者的允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。切勿用于非法,仅供学习参考。
原文始发于微信公众号(两年半网安练习生):小黑子在企业src挖掘时的意外之喜-第四集
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论