当前位置: > 其它学习 > Prometheus >

prometheus+grafana漏洞汇总

时间:2023-03-17 15:28来源:csdn 作者:天问_Herbert555
基本介绍
prometheus+grafana一般合起来用,作用是监控
 
以下介绍部分参考:prometheus+grafana监控设置
 
Prometheus(普罗米修斯)是一套开源的监控&报警&时间序列数据库的组合,起始是由SoundCloud公司开发的。随着发展,越来越多公司和组织接受采用Prometheus,社会也十分活跃,他们便将它独立成开源项目,并且有公司来运作。Google SRE的书内也曾提到跟他们BorgMon监控系统相似的实现是Prometheus。现在最常见的Kubernetes容器管理系统中,通常会搭配Prometheus进行监控。
 
Prometheus基本原理是通过HTTP协议周期性抓取被监控组件的状态,这样做的好处是任意组件只要提供HTTP接口就可以接入监控系统,不需要任何SDK或者其他的集成过程。这样做非常适合虚拟化环境比如VM或者Docker 。
 
Prometheus应该是为数不多的适合Docker、Mesos、Kubernetes环境的监控系统之一。
输出被监控组件信息的HTTP接口被叫做exporter 。目前互联网公司常用的组件大部分都有exporter可以直接使用,比如Varnish、Haproxy、Nginx、MySQL、Linux 系统信息 (包括磁盘、内存、CPU、网络等等),具体支持的源看:https://github.com/prometheus。
 
exporter长这样
 
harbor_exporter、mysqld exporter、named process exporter、node exporter、redis exporter v1.27.0
 
 
在这里插入图片描述
在这里插入图片描述
 
 
 


在这里插入图片描述

在这里插入图片描述




Prometheus自带的图形并不够强大,于是我们可以使用Grafana作为Prometheus的Dashboard。


在这里插入图片描述
 
 
grafana
做渗透的时候发现了这玩意,不知道是干嘛用的,先记下来,页面是这样的

在这里插入图片描述
 
网上搜了搜,默认账号密码是admin/admin,试了试不对,后来通过口令复用登进去了,账号密码是
 
<系统名>admin/<系统名>@123456


 
以后可以这样构造试试,这个系统有个任意文件读取漏洞,复现起来很简单
Grafana 6.4.3任意文件读取
Grafana 8.3.1, 8.2.7, 8.1.8, and 8.0.7 released with high severity security fix
【漏洞复现】Grafana任意文件读取漏洞(CVE-2021-43798)
 
prometheus
而prometheus这玩意是敏感信息泄露,参考文章:
Protecting Prometheus: Insecure configuration exposes secrets
 
长这样
在这里插入图片描述

 
 
在这里插入图片描述 (责任编辑:IT)
------分隔线----------------------------