关联漏洞
标题:
Influxdata InfluxDB 授权问题漏洞
(CVE-2019-20933)
描述:Influxdata Influxdata InfluxDB是美国Influxdata公司的一个基于Go开发的时序性数据库。 Influxdata InfluxDB 1.7.6之前版本存在安全漏洞,该漏洞源于在服务httpd处理程序的身份验证功能中,有一个身份验证绕过漏洞。因为JWT令牌可能有一个空的SharedSecret(又名shared secret)。
描述
InfluxDB CVE-2019-20933 vulnerability exploit
介绍
# InfluxDB Exploit CVE-2019-20933
Exploit for InfluxDB CVE-2019-20933 vulnerability, InfluxDB before 1.7.6 has an authentication bypass vulnerability in the authenticate function in services/httpd/handler.go because a JWT token may have an empty SharedSecret (aka shared secret).
Exploit check if server is vulnerable, then it tries to get a remote query shell. It has built in a username bruteforce service.
## Installation
```
git clone https://github.com/LorenzoTullini/InfluxDB-Exploit-CVE-2019-20933.git
cd InfluxDB-Exploit-CVE-2019-20933
pip install -r requirements.txt
```
## Usage
```
python __main__.py
```
文件快照
[4.0K] /data/pocs/d9093fa6dba5b97b0fa692e086ad7898e103c10b
├── [5.6K] __main__.py
├── [ 619] README.md
├── [ 33] requirements.txt
└── [ 44] users.txt
0 directories, 4 files
备注
1. 建议优先通过来源进行访问。
2. 如果因为来源失效或无法访问,请发送邮箱到 f.jinxu#gmail.com 索取本地快照(把 # 换成 @)。
3. 神龙已为您对POC代码进行快照,为了长期维护,请考虑为本地POC付费,感谢您的支持。