Grafana是一个跨平台、开源的数据可视化网络应用程序平台,用户配置连接的数据源之后,Grafana可以在网络浏览器里显示数据图表和警告。
Grafana存在未授权任意文件读取漏洞,攻击者在未经身份验证的情况下可以通过该漏洞读取主机上的任意文件。
cve:暂无
漏洞类型:文件读取
影响:获取敏感信息
简述:未授权的攻击者利用该漏洞,能够获取服务器敏感文件
1. fofa查询:app=“Grafana”
2. 使用此链接里面的文件:https://xxxxxx.com/ScorpionsMAX/Grafana-loophole
下载下来。
3. 测试的IP地址为:xx.xxx.177.1:3000
4. 运行python脚本:
5. bp抓包试一下:
单个脚本测试成功!
批量测试未成功...
原文始发于微信公众号(LSCteam):Grafana 未授权任意文件读取
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论