https://blog.qife122.com/tags/grafana%E6%BC%8F%E6%B4%9E/ Recent content in Grafana漏洞 on 办公AI智能小助手 Hugo zh-cn qife Fri, 12 Sep 2025 17:54:23 +0800 https://blog.qife122.com/p/%E5%88%A9%E7%94%A8grafana%E7%9B%AE%E5%BD%95%E9%81%8D%E5%8E%86%E6%BC%8F%E6%B4%9E%E4%B8%8Edocker%E6%9D%83%E9%99%90%E6%8F%90%E5%8D%87%E6%94%BB%E7%A0%B4htb-data%E9%9D%B6%E6%9C%BA/ Fri, 12 Sep 2025 17:54:23 +0800 https://blog.qife122.com/p/%E5%88%A9%E7%94%A8grafana%E7%9B%AE%E5%BD%95%E9%81%8D%E5%8E%86%E6%BC%8F%E6%B4%9E%E4%B8%8Edocker%E6%9D%83%E9%99%90%E6%8F%90%E5%8D%87%E6%94%BB%E7%A0%B4htb-data%E9%9D%B6%E6%9C%BA/ <h1 id="htb-data">HTB: Data</h1> <p>Data是一个相对简单的靶机，起始于一个Grafana实例。我将利用未授权目录遍历/文件读取漏洞泄露Grafana使用的SQLite文件。破解用户哈希后，发现这是系统上某个账户的共享密码。对于root权限，我将滥用允许运行docker exec的sudo规则。在容器内部，挂载主机文件系统并利用它获取shell。</p> https://blog.qife122.com/p/grafana%E6%BC%8F%E6%B4%9E%E5%8F%AF%E8%83%BD%E5%AF%BC%E8%87%B4%E4%BB%BB%E6%84%8F%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C%E6%8A%80%E6%9C%AF%E5%88%86%E6%9E%90%E4%B8%8E%E9%98%B2%E6%8A%A4%E6%8C%87%E5%8D%97/ Thu, 11 Sep 2025 04:02:14 +0800 https://blog.qife122.com/p/grafana%E6%BC%8F%E6%B4%9E%E5%8F%AF%E8%83%BD%E5%AF%BC%E8%87%B4%E4%BB%BB%E6%84%8F%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C%E6%8A%80%E6%9C%AF%E5%88%86%E6%9E%90%E4%B8%8E%E9%98%B2%E6%8A%A4%E6%8C%87%E5%8D%97/ <h1 id="grafana漏洞可能导致任意代码执行">Grafana漏洞可能导致任意代码执行</h1> <p><strong>MS-ISAC 公告编号：2025-058</strong><br> <strong>发布日期：2025年6月17日</strong></p> <h2 id="概述">概述</h2> <p>Grafana中存在一个可导致任意代码执行的漏洞。Grafana是一个用于可视化和分析时间序列数据的开源平台，允许用户连接多种数据源、查询转换数据，并创建交互式仪表板来监控指标、日志和追踪数据。成功利用该漏洞可使攻击者运行恶意插件并接管用户账户，无需提升权限。系统权限较低的账户受影响程度可能低于具有管理权限的账户。</p>