企业官网建设流程全解析

咸阳市网站建设,mvc4 做网站,梅州生态建设有限公司网站,全国新冠疫苗接种人数最新消息我是如何通过FOFA发现Grafana中的“CVE-2025-4123”并获得赏金的 Hello Hunters#xff01;我是Abdelrahman (A0xtrojan)#xff0c;很高兴与大家分享我的技术文章#xff0c;这篇文章记录了我在一个私人项目中的发现。话不多说#xff0c;让我们直接进入正题。 发现漏洞 有…我是如何通过FOFA发现Grafana中的“CVE-2025-4123”并获得赏金的Hello Hunters我是Abdelrahman (A0xtrojan)很高兴与大家分享我的技术文章这篇文章记录了我在一个私人项目中的发现。话不多说让我们直接进入正题。发现漏洞有一天当我在FOFA上进行研究时我遇到了一个影响Grafana的新发布的CVECVE-2025-4123。该问题将一个客户端的路径遍历漏洞与一个开放重定向漏洞串联起来能够实现存储型XSS。在某些配置下例如当存在图像渲染器插件时这个链条甚至可以升级为SSRF。利用FOFA进行搜索然后我前往FOFA并运行了我的查询来搜寻那个Grafana实例domainexample.com icon_hash2123863676 OR Hostexample.com icon_hash2123863676这个查询会寻找example.com域下使用特定Grafana图标哈希值2123863676的主机帮助我快速定位潜在易受攻击的面板。手动测试面板我导航到FOFA查询返回的其中一个Grafana仪表板并对手动测试了该面板。构造和注入Payload首先我将以下路径注入到易受攻击的面板中/public/..%2F%5coast.pro%2F%3f%2F..%2F..这个经过编码的Payload执行了客户端的路径遍历并重定向到oast.pro使我能够将恶意输入存储在仪表板中并确认反射型/存储型行为。漏洞影响评估我尝试将攻击链升级为更高影响的利用存储型XSS / SSRF但在我的测试中它仅可靠地导致了一个开放重定向。负责任披露与结果我负责任地披露了这一发现并因报告获得了赏金。Alhamdulillah €€很高兴地宣布Khoof很快将分享CVE发现的替代方法和漏洞研究的最佳实践。感谢您抽出时间阅读我的文章我很快会发布下一个漏洞 希望大家能分享、点赞和支持我的技术文章 保持安全。在社交媒体上关注我LinkedIn|X|Youtube|FacebookCSD0tFqvECLokhw9aBeRqjcs98TpfN7nahtcXvPF7lpDddN21vAWD2VT7ZrW0foy7kZn1hATPiF/20c0EZUn8iH95B9QUwMyIPXiO0NgC3QHx5leXrbcTIUZYzp2AWbu9h98GUEaVDRsIpgK7fO/w更多精彩内容 请关注我的个人公众号 公众号办公AI智能小助手对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号网络安全技术点滴分享