聲明：該文章來自（shadowsec）版權(quán)由原作者所有，K2OS渲染引擎提供網(wǎng)頁加速服務(wù)。

influxdb是一款著名的時序數(shù)據(jù)庫，其使用jwt作為鑒權(quán)方式。在用戶開啟了認(rèn)證，但未設(shè)置參數(shù)shared-secret的情況下，jwt的認(rèn)證密鑰為空字符串，此時攻擊者可以偽造任意用戶身份在influxdb中執(zhí)行SQL語句。

參考鏈接：

https://www.komodosec.com/post/when-all-else-fails-find-a-0-day

https://docs.influxdata.com/influxdb/v1.7/administration/config/#http-endpoints-settings

漏洞環(huán)境

執(zhí)行如下命令啟動influxdb 1.6.6：

docker-compose up -d

環(huán)境啟動后，訪問http://your-ip:8086/debug/vars即可查看一些服務(wù)信息

漏洞利用：

首先我們依然利用nmap掃描

此次漏洞影響的版本：influxDB?<1.7.6

我們訪問該端口

可以看到是404 not found，但是

我們訪問http://192.168.1.12:8086/debug/vars

可以看到數(shù)據(jù)，我們進(jìn)入?/query 查詢的接口，然后看到需要驗(yàn)證

由于ifluxdb采用的是jwt加密方式，我們只需要在jwt加密解密網(wǎng)站上進(jìn)行編碼加入到數(shù)據(jù)包中即可繞過授權(quán)進(jìn)行查詢

這里我們需要更改兩個地方，一是將username=admin，二是將時間戳改成大于當(dāng)前時效的時間（時間戳用來記錄jwt口令失效時間）

將這個驗(yàn)證編碼加入到數(shù)據(jù)包中驗(yàn)證

要注意以下幾點(diǎn)：

Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6ImFkbWluIiwiZXhwIjoxNzE1NjE3NDUxfQ.lTb9_CDdHZaNLlEdu9PHWn9ZprstLU7sFUfel1MQDbE

添加該令牌，密鑰要去空，username是固定

提價數(shù)據(jù)需要以post方式提交，將抓取的數(shù)據(jù)包改為post

sql語句例如：db=sample&q=show+users，得到用戶回顯

需要加上

Content-Type:application/x-www-form-urlencoded

否則數(shù)據(jù)回顯錯誤

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/