关联漏洞
标题:
Grafana 路径遍历漏洞
(CVE-2021-43798)
描述:Grafana是Grafana实验室的一套提供可视化监控界面的开源监控工具。该工具主要用于监控和分析Graphite、InfluxDB和Prometheus等。 Grafana 8.0.0-beta1至8.3.0存在路径遍历漏洞,攻击者可利用该漏洞执行目录遍历攻击,访问本地文件。
描述
CVE-2021-43798 Grafana任意文件读取
介绍
# CVE-2021-43798 Grafana任意文件读取
## 1.installation
```shell
pip3 install -r requirements.txt
```
## 2.Usage
```shell
$ python3 grafana.py -h
____ __ __ _____ ____ ___ ____ _ _ _ _____ _____ ___ ___
/ ___| \ \ / / | ____| |___ \ / _ \ |___ \ / | | || | |___ / |___ | / _ \ ( _ )
| | \ \ / / | _| _____ __) | | | | | __) | | | _____ | || |_ |_ \ / / | (_) | / _ \
| |___ \ V / | |___ |_____| / __/ | |_| | / __/ | | |_____| |__ _| ___) | / / \__, | | (_) |
\____| \_/ |_____| |_____| \___/ |_____| |_| |_| |____/ /_/ /_/ \___/
CVE-2021-43798 Grafana任意文件读取
By:K3rwin
usage: grafana.py [-h] [-u U] [-r R]
命令行传入url参数,-u 指定单个地址,-r 从文件读取批量地址
optional arguments:
-h, --help show this help message and exit
-u U 单个url地址,可尝试49个poc
-r R url文件列表,只使用默认poc
```
## 3.example
文件快照
[4.0K] /data/pocs/3ff89d805ad5466c6dd71ac36b8d65609915c740
├── [4.3K] grafana.py
├── [2.9K] poc.txt
├── [4.0K] README.assets
│ ├── [111K] image-20211217145143609.png
│ └── [213K] image-20211217145217400.png
├── [1.3K] README.md
└── [ 62] requirements.txt
1 directory, 6 files
备注
1. 建议优先通过来源进行访问。
2. 如果因为来源失效或无法访问,请发送邮箱到 f.jinxu#gmail.com 索取本地快照(把 # 换成 @)。
3. 神龙已为您对POC代码进行快照,为了长期维护,请考虑为本地POC付费,感谢您的支持。