请选择 进入手机版 | 继续访问电脑版

IT运维管理,ITIL,ITSS,ITSM,ISO20000-ITIL先锋论坛

 找回密码
 微信、QQ、手机号一键注册

扫描二维码登录本站

QQ登录

只需一步,快速开始

艾拓先锋
搜索
查看: 435|回复: 0

[Zabbix专区] 看Zabbix 2.2.x / 3.0.x latest.php SQL 注入

[复制链接]
来自- 湖南娄底

参加活动:0

组织活动:12

发表于 2017-9-3 11:43:18 | 显示全部楼层 |阅读模式 来自- 湖南娄底
0?wx_fmt=gif.jpg
摘要:本次给大家分享的是四叶草安全BugScan社区成员" 呔(dai),妖怪!"童鞋提交的"zabbix 2.2.x / 3.0.x latest.php SQL 注入检测"
1、Zabbix?

        zabbix(音同 zæbix)是一个基于WEB界面的提供分布式[url=]系统监视[/url]以及网络监视功能的企业级的开源解决方案。
        zabbix能监视各种网络参数,保证[url=]服务器系统[/url]的安全运营;并提供灵活的通知机制以让[url=]系统管理员[/url]快速定位/解决存在的各种问题。
        zabbix由2部分构成,zabbix server与可选组件zabbix agent。
        zabbix server可以通过[url=]SNMP[/url],zabbix agent,[url=]ping[/url],端口监视等方法提供对远程服务器/网络状态的监视,[url=]数据收集[/url]等功能,它可以运行在Linux,Solaris,HP-UX,AIX,Free BSD,Open BSD,OS X等平台上。

(注:文来自百度百科)

2、漏洞危害证明
[size=1em]

先来看下漏洞文件的源代码:

1.png

全局搜索使用该函数的地方。
1.png
我们到这里:\include\classes\user\CProfile.php 第70行
1.png
全局搜索flush(),zabbix\charts.php     zabbix\include\classes\user\CWebUser.php  zabbix\include\page_footer.php  三个文件中做了调用。然后我们可以看到在jsrpc.php的最后一行:
1.png

那么我们的参数应该如何带入呢?我们可以看到在jsrpc.php中,
1.png

传入参数 type不为6时(PAGE_TYPE_JSON 为常量6),$data可以接受$_REQUEST传来的值。所以其实这里不论是get还是post或者cookie都可以带入。(cookie具体看服务端配置)。
当method = screen.get的时候会进入到
1.png

$options数组的值我们根据情况来进行构造就好饿了。随后可以看到
1.png

继续跟进:
1.png

然后是这样:
1.png

我们的resourcetype的值为17(SCREEN_RESOURCE_HISTORY为17)
接着进入了:
1.png

继续跟进:
1.png

这个类继承来自CScreenBase。在构造方法中调用了父类的构造方法。我们跟进来看看:
1.png

到了calculate中。
1.png

来跟进:
1.png

可以看到进入了insert。最终未处理的变量被带入到了查询。导致了sql注入。

配置环境
服务器:debian 4.0.4
环境:docker
程序:zabbix 3.0.2
审计工具:sublime text
上传点:jsrpc.php?sid=0bcd4ade648214dc&type=3&method=screen.get×tamp=1471054088083&mode=2&screenid=&groupid=&hostid=0&pageFile=history.php&profileIdx=web.item.graph&profileIdx2=2%27123&updateProfile=true&screenitemid=&period=3600&stime=20170813040734&resourcetype=17&itemids[23297]=23297&action=showlatest&filter=&filter_task=&mark_color=1


1.png

直接带入请求链接

1.png

页面返回数据库INSERT报错信息,漏洞存在,丢sqlmap跑一边

1.png

1.png

1.png

修复建议:

1、升级到3.0.4

2、使用 intval 函数过滤 CProfile::insertDB 中的 $idx2 变量

检测插件

1.png

原创:四叶草安全BugScan社区

本版积分规则

选择云运维时代的王牌讲师-长河老师,助你轻松入门ITIL Foundation培训课程

QQ|小黑屋|手机版|Archiver|ITIL先锋论坛五万运维人社区 ( 粤ICP备17056641号|网站地图

Baidu

GMT+8, 2018-9-23 03:24 , Processed in 0.203793 second(s), 31 queries .

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表