其他
记一次SRC未授权influxdb数据库任意命令执行
The following article is from 戟星安全实验室 Author A404
公众号现在只对常读和星标的公众号才展示大图推送,
建议大家把听风安全设为星标,否则可能就看不到啦!
----------------------------------------------------------------------
本文约1000字,阅读约需4分钟。
0x00 前言
0x01 什么是influxdb
influxdb提供WEB服务进行数据库操作
cpu series 存储了timestamp、name、cpu使用率百分比
0x02 什么是grafana
通过配置grafana与influxdb的数据调用,达到可视化监控(demo)
0x03 未授权influxdb数据库任意命令执行
./ffuf -w~/Downloads/target.txt -u FUZZ/query\?q=show%20databases -t 10 -mr"internal"
使用ffuf对目标批量请求,并匹配出响应中存在internal的目标。
ffuf fuzz
show database
show series for db
0x04 总结
点击下方名片,关注我们
觉得内容不错,就点下“赞”和“在看”
如果不想错过新的内容推送可以设为星标