Grafana 未授权任意文件读取漏洞 可读文件 大佬们 有啥进一步的渗透思路吗?

![attach-981d4a958bc24f5e9c17cfd24aca2c12f69132e7.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2021/12/attach-981d4a958bc24f5e9c17cfd24aca2c12f69132e7.png)

最佳答案 2021-12-31 16:53

可以去读取一些配置文件,就比如说存储有账户密码的文件,还有像历史命令文件啊等等
默认排序 时间排序

其它 2 个回答

空城 - 安全小菜鸡

1、读取shadow文件,看密码能否破解

2、可以尝试RCE方法-->读库(/var/lib/grafana/grafana.db),有几率获取 AccessKey

Xc7ACD
读取配置文件,比如尝试读取apache的配置信息或者ssh的ftp的密钥等相关可利用文件。
  • 4 关注
  • 0 收藏,13568 浏览
  • 龙挂载 提出于 2021-12-29 14:51

相似问题