九月下旬更新速递丨 AI赋能、技术实战与智能探索

金秋九月,下旬更新携AI发布会回放、丰富实战案例与进阶开发资源强势登场!助您深化技术理解,加速智能应用落地!

重点推荐Smartbi AIChat V4发布会圆满落幕!发布会精彩内容已完整上架,随点随看,深度回顾!共同步入智能新纪元!点击观看Smartbi AIChat V4发布会全程回放

麦学堂同步上架,加速学习

【Smartbi AIChat全新升级发布会根据不同篇章提炼上架,方便您按需定位,快速直达重点环节,高效吸收核心内容!

十分钟完整体验AIchat→ 只要10分钟时间,即可使用自己的本地数据快速体验AIChat所有功能。

一、任务持续上线

场景实战系列任务:数据处理,赢取278麦豆!通过实战任务巩固技能,真正掌握数据驱动的企业决策全流程

【BI知识闯关】数据回写填报太头疼?方案请收好!》→破解填报难题,提升数据处理效率。

【AI每日一学知识巩固】为什么Python 是目前人工智能领域最常用的编程语言》→深入解析Python在AI领域的优势,巩固编程基础。

二、实战技巧分享

数据回写填报太头疼?方案请收好!》→聚焦六大常见回写场景,拆解每类场景的实现思路,带您清晰掌握 Smartbi 数据回写的实操逻辑。

、开发技能突破

自定义计划任务案例 进一步了解自定义计划任务,从而提升自定义任务的开发效率和能力。

四、AI每日一学

【AI每日一学】为什么Python 是目前人工智能领域最常用的编程语言》→探讨Python为何能成为人工智能领域最常用的编程语言。

【AI每日一学】简单总结一下AI Agent的五个发展阶段从简单的指令响应到复杂的多智能体协作,AI Agent正逐步向着更拟人、更通用的方向演进。

五、全新素材上线

科技指标卡底座(二)→科技感视觉主题,深色科技风跃动,光线流动引爆焦点!

按需管控:业务人员导出最大行数设置在“导出规则”中,“导出动作”增加“部分导出”的选项

屏蔽“我的工作区”根据角色控制,屏蔽产品中“我的工作区”目录的功能,同时,对于该模块下的资源进行“保存”或者“另存为”,以及“移动到”时,对应的弹出框都不会显示“我的工作区”目录。

数据预警:异常数据可以落地到知识库在“预警推送”中,“推送渠道”增加“数据库”的选项,可以把异常数据存储到“知识库”的表中。

同一账号不能同时登录同一账号不能同时登录,后登录踢出先登录。


六、行业方案上线

汽车制造-财务数字化分析决策平台方案“核账型财务”向“经营型财务”升级

汽车制造-媒介平台ROI实时分析需求解决方案在激烈的市场竞争中,汽车行业对广告投放精准性要求极高,打破决策延时,敏捷响应时长,解决资源浪费,提升广告投放ROI!

为进一步提升认证服务的质量与体验,我们对认证业务进行全面优化升级。更多详情请看→Smartbi认证考试优化升级公告


麦粉社区
>
帖子详情

关于Branch_SmartbiV80_20180401版本自带mysql被渗透攻击问题

其它 发表于 2023-5-17 11:07
发表于 2023-5-17 11:07:47

Branch_SmartbiV80_20180401版本自带mysql服务被暴力入侵。


 


 


中山市香山盾攻防演练渗透发现

发表于 2023-5-17 11:07:48
对于您反馈的问题,
1、漏洞是MySQL弱口令。Smartbi一键部署安装的MySQL修改密码详情见wiki文档说明:https://wiki.smartbi.com.cn/pages/viewpage.action?pageId=76678923
2、Smartbi是以JDBC方式与数据库连接,因此数据库密码变更之后是需要在系统配置中修改知识库配置的,这一点与常规的JDBC数据库工具无异;
3、目前一键部署安装的tomcat在启动脚本上是会检测该数据库运行情况并一同启动,这是为了便利提供用户一站式服务,如若不需要自启动该数据库,建议可以修改tomcat启动脚本startup.cmd中的以下部分内容,或者考虑自行安装Tomcat手工部署Smartbi;
3574964658087a3ad5.png
4、EXE一键部署的Smartbi程序中并没有强制要求使用自带的MySQL数据库作为知识库,若该mysql不符合项目要求,建议考虑连接其它数据库或者自行安装MySQL作为知识库使用。
702364658157e02ac.png

回复

使用道具 举报

发表于 2023-5-17 11:11:55
本漏洞在香山网盾网络攻防演习攻击队成果报告中被渗透发现,导致扣分严重。
回复

使用道具 举报

修改mysql用户名密码可参考网上资源修改:https://www.dbs724.com/90621.html
  •   刘治康
    Smartbi并不是在用这个用户名吗?
    2023-5-17 11:53| 回复
  •   刘治康
    我老早就查过,mysql的user里面只有root和admin,问题是改了这个密码后,Smartbi无法连接上mysql了呀,Smartbi的配置文件在哪里?
    2023-5-17 11:59| 回复
  •   刘治康
    我懂了,你让开发人员安装了smartbi后,然后改了捆绑安装的mysql密码,然后再跑到smartbi的根目录下,修改smartbi-config.xml,是吧。这不叫漏洞叫什么漏洞。
    2023-5-17 12:02| 回复
  •   刘治康
    已经进行过多方测试,smartbi自带的MYSQL无法修改密码
    2023-5-17 15:01| 回复
  •   没必要理会
    楼下
    2023-5-18 09:52| 回复

回复

使用道具 举报

发表于 2023-5-18 08:47:11
再次说明一下,smartbi那个mysql无法用传统的方式修改密码,所以各位注意这个mysql可能被攻击入侵。其次,启动服务那个图标按钮会自动打开mysql服务,但是关闭服务那个图标按钮可不会关闭mysql服务的,我攻击演练就在这里翻车了,smartb关闭了,后面mysql还在偷偷的运行。

回复

使用道具 举报

发表于 2023-5-18 08:55:31

而且存在注入风险页面,所以各位自求多福。未解决之前我司决定停用。


 


 



回复

使用道具 举报

发表于 2023-5-18 15:22:39

亲爱的麦粉您好,首先申明您所指出的漏洞其实是mysql的弱口令漏洞,并不是Smartbi版本漏洞;


 


为了方便用户体验产品,Smartbi的exe一键部署是自带知识库的,但允许用户根据实际需求修改数据库类型,也可以对数据库的账号密码进行修改。如果是生产环境,建议知识库或系统都做好安全防范,我们有完整的安装部署方案,如有需要可以通过项目申请获取。


 


如果在项目中遇到任何问题,可随时通过工单支持寻求售后团队帮助,也可以在社区进行反馈,同时我们也非常欢迎您分享问题解决的方法和过程与大家交流哦~ 


 


感谢您的理解与支持,小tip: 如果问题已经解决可以采纳最佳回复闭环,这样不仅有麦豆奖励,其他小伙伴也可以在已解决的列表中快速获取经验哦~


回复

使用道具 举报

发表于 2023-5-19 11:37:46

经过这些天多方查证,已经解决问题。


方法是在MYSQL的BIN目录下,使用mysqld-nt --skip-grant-tables 进入安全模式的mysql服务


然后再开窗口使用mysql -uroot -p 绕过包括ROOT在内的所有用户密码


再然后使用update mysql.user set password=PASSWORD('XXXXXXXX') WHERE User='admin';修改密码。


再再然后在Tomcat\bin\smartbi-config.xml,配置文件里面改掉<pass>admin</pass>行,即可smartBI登录新的MYsql密码。


 


 


 


建议所有自己安装smartbi的人员都要按上诉步骤改一下这个密码,否则无法抵御MYSQL渗透攻击。这在我们程序员看来就是代码漏洞,开发人员在打包smartbi安装包的时候完全有能力把这个用户名改掉的。其次,千万不要把6688端口放出外网。


 


 


 


此贴大部分终结,还有smartbi/vision/FileResource 被发送op=OPEN&resld= LOGIN_ BG_ IMG' AND extractvalue(1,concat(0,md5(123))),有响应动作,被视为注入漏洞。

  •   刘治康
    我建议有能力的人可以把数据库用ODBC,JDBC之类,搬迁到其他地方。
    2023-5-19 11:39| 回复

回复

使用道具 举报

高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

17回帖数 0关注人数 1497浏览人数
最后回复于:2023-5-19 11:37
快速回复 返回顶部 返回列表