zabbix jsrpc.php,Zabbix SQL(jsrpc.php) 注入漏洞分析 (以3.0.2为例)

最新推荐文章于 2022-08-31 14:53:51 发布
最新推荐文章于 2022-08-31 14:53:51 发布
阅读量658 收藏 1
点赞数 1
文章标签: zabbix jsrpc.php

近日,Zabbix的web后台爆出一个sql注入漏洞。青藤云安全团队立即响应,并提出了临时&最佳解决方案。

0x00  漏洞概述

漏洞类型:SQL 注入

危险等级:高

利用条件:该漏洞需要登录,但是系统内置Guest帐号且默认为启用状态。

受影响参数:profileIdx2

0x01 POC测试

http://xxx.testzabbix.com/zabbix/jsrpc.php?sid=0bcd4ade648214dc&type=3&method=screen.get&timestamp=1471054088083&mode=2&screenid=&groupid=&hostid=0&pageFile=history.php&profileIdx=web.item.graph&profileIdx2=2%27123&updateProfile=true&screenitemid=&period=3600&stime=20170813040734&resourcetype=17&itemids[23297]=23297&action=showlatest&filter=&filter_task=&mark_color=1

0x02 漏洞分析

jsrpc.php该页面接受当传入参数 type不为6时(PAGE_TYPE_JSON 为常量6),如下图所示,可以给$data赋值$_REQUEST变量,我们知道$_REQUEST变量是接受 GET/POST/COOKIE任意一种输入的(接受COOKIE输入需要一定的配置支持),因此我们的payload不限于使用GET方法发送。

7ad1ec48ab64a0b8048b32ff393c7615.png

在我们输入的Payload当中 method=screen.get,调用的过程(switch case)是screen.get,如下图所示:

a0b3cea16b2de5c22a611d5c528be8a3.png

其中给$options[profileIdx2]赋值了$data[profileIdx2],而该值是由未经过任何过滤的$data变量通过$_REQUEST传入。

之后该方法调用了CScreenBuilder::getScreen,该方法 (CScreenBuilder::getScreen)位于 ./include/classes/screens/CScreenBuilder.php

该方法(CScreenBuilder::getScreen)的构造方法(__construct)调用了 CScreenBase::calculateTime,并传入$option[profileIdx2],此处也没有过滤,因此可以看到我们在$_REQUEST中传入的profileIdx2已经到达这里了。

40582c29ddb1fd8fc59a09e3de8b5059.png

在CScreenBase::calculateTime方法中,我们看到profileIdx2被带入了CProfile,并且是直接带入,如下图所示:

64ad5281a084e9c1740be21ea0c5f67c.png

这里带入的时候是通过CProfile::update带入的,那么我们再来看CProfile::update方法,如下图所示:

a1a99e1f0798020b4d4c1cadf5e3d10d.png

发现该处也无任何过滤,而且最终该值被神奇的带到了CProfile的$insert中。

因此从用户输入($_REQUEST)到带入到CProfile,参数profileIdx2未经过任何过滤器。

接下来jsrpc.php 的页面最后一行require_once了/include/page_footer.php

283c4cd1126eaffacd9e9435d090201b.png

而/include/page_footer.php中调用了数据库操作,也就是CProfile::flush()方法,如下图所示:

637f35b12249ae125f5c17d6e0f74db8.png

该方法从CProfile::$insert中取出相应的值,并进行insertDB操作,此处没有过滤,通过遍历数组进行insertDB操作,因此总会遍历到我们的变量。

6df90cde4737bd22b3a8337e7de427f8.png

接下来,我们再来看insertDB操作

e0368c8c7c6a5b814557d3e580839d6b.png

该操作的第四个参数又顺利的没有做任何过滤,最后带到了数据库进行查询 (DBexecute)。

我们再来看(DBexecute),文件位于/include/db.inc.php,发现是在本分的执行sql语句,因此我们的$_REQUEST[profileIdx2]成功的被送到了数据库并执行,也就是造成该漏洞的原因。

26297b44d4668dd8ae055e6d7f21cc32.png

其实细心的读者会发现,带入数据库以前,许多变量都被zbx_dbstr这个函数过滤了,这个函数实际上就是mysql_real_escape_string,会对单引号双引号等特殊字符做转义。

最后不得不说的是,造成该漏洞真是需要开发人员编程时候的代码之间的各种“偶遇”,才能在层层过滤下都忘记过滤这个变量。

因此我们GET方法请求:

f586a6329083b07f97682b84c24bbfd5.png

POST方法请求:

27e5697c478c6ef9ab15dee38de99cc5.png

均可实现,如果配置允许的话COOKIE也是可以的。

0x03 影响的软件版本

目前已知受影响软件版本:2.0.x,2.2.x,2.4.x,2.5,3.0.x

0x04 相关案例

Zabbix 2.2.x, 3.0.x SQL 注入漏洞(latest.php)

点击“阅读原文”查看详细案例。

0x05 修复建议

(1)临时解决方案:

a.关闭guest访问权限,修改管理员账号为强口令。

b.对zabbix后台做访问控制,只允许指定IP访问zabbix-server后台。

(2)最佳修复方案:

升级目前最新版本的Zabbix系统(3.0.4)

0x06 总结

该漏洞需要登录,但是系统内置Guest帐号且默认为启用状态,因此攻击者可通过Guest帐号登录并进行攻击。该漏洞实际上是zabbix latest.php注入漏洞的另一种衍生攻击方式。

青藤 简介

青藤是国内首家自适应安全服务商,目前已经为互联网金融、电子商务、企业服务领域的数十家知名互联网企业提供轻量级、弹性可扩展的新一代安全服务体系。青藤,为企业云安全保驾护航。

18190978317
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
漏洞复现-zabbix系列
aming小老弟
01-09 5549
Zabbix SIA Zabbix是拉脱维亚Zabbix SIA公司的一套开源的监控系统。基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。该系统支持网络监控、服务器监控、云监控和应用监控等。能监视各种网络参数,保证服务器系统的安全运营;并提供灵活的通知机制以让系统管理员快速定位/解决存在的各种问题。zabbix由2部分构成,zabbix server与可选组件zabbix agent。
Zabbix JSON-RPC
781193278专栏
12-01 4417
1 Zabbix概述 1) 是一个企业级的分布式开源监控方案 2) 是一个高度集成的网络监控解决方案 3) 是一款能够监控各种网络参数以及服务器健康性和完整性的软件 2 常用名词解释 1) 主机(host):一台你想监控的网络设备,用IP或域名表示 2) 监控项(item):你想要接收的主机的特定数据,一个度量数据 3) Zabbix Server:实现监控的核心
Zabbix 注入到命令执行漏洞复现
Adminxe的博客
05-05 1234
@Adminxe Zabbix 站点进行测试, zabbix常用弱口令 admin / zabbix 或者guest空口令 外面注入exphttp://0.0.0.0/jsrpc.php?type=9&method=screen.get&timestamp=1471403798083&pageFile=history.php&profil...
Zabbix】在CentOS7上安装Zabbix3.0
weixin_34252686的博客
07-31 105
Zabbix安装   首先说明一下,本文主要参考了【http://www.linuxidc.com/Linux/2016-11/137030.htm】和【http://www.cnblogs.com/XYJK1002/p/5324293.html】两篇文章。在两者的基础上做了些小总结和小错误的修正(当然也可能不是错误,只是因为一些环境或其他原因而不同的操作而已)。   一直想给测试环境也装一套...
Zabbix注入漏洞复现
qq_43590351的博客
08-31 1421
CVE-2016-10134
zabbix jsrpc.php,Vulnhub-zabbix latest.php SQL注入漏洞(CVE-2016-10134)
weixin_35599225的博客
03-10 287
郑重声明:所用漏洞环境为自建虚拟机vulnhub靶机环境,仅供本人学习使用。漏洞简述zabbix是一款服务器监控软件,其由server、agent、web等模块组成,其中web模块由PHP编写,用来显示数据库中的结果。(引用)2016年8月12日,1n3通过邮件披露了Zabbix软件的jsrpc.php文件在处理profileIdx2参数时存在insert方式的SQL注入漏洞,与官方通告的late...
zabbix前台jsrpc注入
weixin_30755709的博客
09-01 162
zabbix是一个开源的企业级性能监控解决方案。 官方网站:http://www.zabbix.com zabbixjsrpc的profileIdx2参数存在insert方式的SQL注入漏洞,攻击者无需授权登陆即可登陆zabbix管理系统,也可通过script等功能轻易直接获取zabbix服务器的操作系统权限。 首先打开登录页面 检测是否可以guest登录。 然后xx.com/jsrpc...
ZABBIX jsrpc SQL注入
打代码的小女孩
11-17 788
影响的版本 ZABBIX 2.0.5 2.0.13 2.2.x 2.4.2 2.4.5 2.4.7 2.4.8 2.5.0 3.0.0-3.0.3。 不受影响的版本 ZABBIX 1.8.*,2.2.14,3.0.4,3.2.0。 修复方法 官方已经发布了新版本修复了此安全问题,请尽快升级到最新版本。官方下载地址如下: http://www.zabbix.com/dow...
zabbix SQL注入漏洞 (CVE-2016-10134)
SoulCat
01-26 7057
zabbix SQL注入漏洞(CVE-2016-10134) 漏洞概述: zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。Zabbix 的latest.php中的toggle_ids[]或jsrpc.php种的profieldx2参数存在sql注入,通过sql注入获取管理员账户密码,进入后台,进行getshell操作。 漏洞版本: 2.2.x 3....
zabbix jsrpc.php,Zabbix API的介绍及使用
weixin_29988907的博客
03-10 603
Zabbix API的介绍及使用发布时间:2018-06-29 11:41,浏览次数:665, 标签:ZabbixAPIzabbix拥有完善的API,基于JSONRPC提供资产,主机,主机组,监控项,告警等方面的接口。在做运维自动化时,需要用API功能对zabbix二次开发。本文我将介绍如何用python信使用zabbix的API。API介绍*API地址, http://你的zabbix域名/ap...
zabbix 3.0 mysql create.sql
11-05
zabbix 3.0专用 使用,其他版本请勿下载使用。其他版本会检测版本号的导致无法正常运行,其他版本请自行编译。
zabbix报警.mp4
06-17
zabbix报警.mp4
zabbix5.0rpm包和sql文件.rar
12-05
CentOS7安装zabbix5.0所需rpm包; zabbix5.0导入mysql所需sql文件压缩包:create.sql.gz文件
zabbix 2.x 安装手册
11-17
针对 zabbix 2.x的安装手册,总结了安装过程中的错误,整理成安装步骤及问题解决方案,仅供参考。
php3.13登陆漏洞,修复最新Zabbix2.2.13-3.0.3 SQL注入漏洞 | zifangsky的个人博客
weixin_39969568的博客
03-19 61
一 介绍如题所示,最近zabbix官网公布了一个最新的SQL注入漏洞,影响最新的稳定版3.0.3。官方的通报地址如下:https://support.zabbix.com/browse/ZBX-110232016年8月12日,1n3通过邮件披露了Zabbix软件的jsrpc.php文件在处理profileIdx2参数时存在insert方式的SQL注入漏洞,与官方通告的latest.php文件在处理...
Zabbix SQL注入漏洞技术分析与防护方案
weixin_34253539的博客
09-01 402
Zabbix软件被爆存在SQL注入漏洞,经过分析发现Zabbix默认开启了guest权限,且默认密码为空。随后Zabbix V3.0.4版本修复了2个SQL注入漏洞,本文对其公布的PoC进行分析,并给出检测及防护方案。 Zabbix公布了2个POC,如下: /zabbix/jsrpc.php?sid=0bcd4ade648214dc&t...
如何查看zabbixphp应用报错,zabbix监控报错zabbix server is not running: the information displayed may not be curr...
weixin_34644072的博客
03-20 179
这几天为了做监控在ubuntu服务器上部署了zabbix做监控。过程还是遇到了一些问题,把他记录下来。希望对大家有帮助吧。这里千万记住,zabbix 不建议用最新版本,唉~~~~找个稍微次级版本即可。这次安装过程过程出现了报错:zabbix红色弹出报错:zabbix server is not running: the information displayed may not be curren...
PHP】远程调用以及RPC框架
weixin_34358365的博客
08-24 537
前言 一个项目,从开始到版本更新,一直到最后的版本维护。功能在不断增多,对应的代码量也在不断增加,也就意味着项目变得更不可维护,这时候,我们需要用拆分的方式将一个项目打散,以便开发团队更好的对项目进行维护。 分模块 这个阶段,一般也是项目的初级阶段,由于人手不够,一个服务端的接口项目只有一个开发进行维护,根据开发的习惯,会把项...
zabbix6.0.12.tar.gz+nginx1.20.2.tar.gz+php
最新发布
05-10
好的,您需要安装Zabbix 6.0.12、Nginx 1.20.2和PHP,那么我可以为您提供一些安装指导。 1. 安装Zabbix 6.0.12 - 下载Zabbix 6.0.12源代码包:https://www.zabbix.com/download?zabbix=6.0&os_distribution=source&os_version=6.0.12 - 解压源代码包:tar -zxvf zabbix-6.0.12.tar.gz - 进入解压后的目录:cd zabbix-6.0.12 - 执行configure脚本:./configure --enable-server --enable-agent --with-mysql --with-net-snmp --with-libcurl --with-libxml2 --with-ldap --with-iconv --with-openipmi - 编译并安装:make && make install 2. 安装Nginx 1.20.2 - 下载Nginx 1.20.2源代码包:http://nginx.org/download/nginx-1.20.2.tar.gz - 解压源代码包:tar -zxvf nginx-1.20.2.tar.gz - 进入解压后的目录:cd nginx-1.20.2 - 执行configure脚本:./configure --with-http_ssl_module --with-http_v2_module - 编译并安装:make && make install 3. 安装PHP - 下载PHP源代码包:https://www.php.net/distributions/php-8.0.10.tar.gz - 解压源代码包:tar -zxvf php-8.0.10.tar.gz - 进入解压后的目录:cd php-8.0.10 - 执行configure脚本:./configure --prefix=/usr/local/php --with-mysqli --with-pdo-mysql --with-openssl --with-zlib --enable-fpm --enable-mbstring - 编译并安装:make && make install 安装完成后,您可以按照以下步骤配置Nginx和PHP,以使它们可以与Zabbix配合使用: 1. 修改Nginx配置文件,将以下内容添加到“http”块中: ``` server { listen 80; server_name example.com; root /var/www/html; location /zabbix { alias /usr/local/zabbix; index index.php; } location ~ \.php$ { fastcgi_pass 127.0.0.1:9000; fastcgi_index index.php; fastcgi_param PATH_INFO $fastcgi_path_info; fastcgi_param SCRIPT_FILENAME $request_filename; include fastcgi_params; } } ``` 2. 启动PHP-FPM服务:/usr/local/php/sbin/php-fpm 3. 启动Nginx服务:/usr/local/nginx/sbin/nginx 现在,您可以在浏览器中访问http://example.com/zabbix,并使用Zabbix监控您的设备和应用程序了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值