实战CVE-2022-23131漏洞 | 身份认证绕过

admin 2022年5月16日00:04:54安全文章评论14 views1302字阅读4分20秒阅读模式

前言:

Zabbix 是一个非常流行的开源监控平台,用于收集、集中和跟踪整个基础设施中的 CPU 负载和网络流量等指标。它与 Pandora FMS Nagios 等解决方案非常相似。由于其受欢迎程度、功能和在大多数公司网络中的特权地位,Zabbix 是威胁参与者的高调目标。

 

Zabbix对客户端提交的Cookie会话存在不安全的存储方式,导致在启动SAML SSO认证模式的前提下,恶意用户可通过构造特殊请求绕过认证,获取管理员权限,进而可实现RCE

 

Fofa语句:

app="ZABBIX-监控系统" && body="saml"


 

适用版本:

zabbix 5.4.0 - 5.4.8

zabbix 6.0.0alpha1

正文:

这次没有靶场搭建,因为临时看到一篇文章所以想尝试复现的,这里我直接搜索,用的什么大家懂得都懂,不懂得这个洞也没必要看,这个在国内能搜索到的很少,基本都是国外的,修复的比例也比较大,找了二十几条数据也就一个有这个漏洞。所以也没有提交的必要。

实战CVE-2022-23131漏洞 | 身份认证绕过

国内的基本都修复了大家就不用尝试了,多去M国那边搞搞就行了

Ok,复现开始

我这里直接实战上手,页面如下

实战CVE-2022-23131漏洞 | 身份认证绕过

大致就是这个样子,原理我们不讲那么多,大致原理就是

该漏洞存在于index_sso.php文件中,由于index_sso.php文件未调用

CEncryptedCookieSession::checkSign()

方法对cookie进行校验,且客户端的cookie可被伪造。

具体的大家可以网上找,这里偏向小白向的复现

我们到了登录页面,打开burp进行抓包,开启拦截,我们刷新登录页面

对抓到的页面进行以下修改

实战CVE-2022-23131漏洞 | 身份认证绕过

一个是第一个箭头处那个位置改为index_sso.php

第二个就是cookie处修改,是我们构造的payload加密base64

Payload

{"saml_data":{"username_attribute":"Admin"},"sessionid":"","sign":""}

实战CVE-2022-23131漏洞 | 身份认证绕过

加密后:

eyJzYW1sX2RhdGEiOnsidXNlcm5hbWVfYXR0cmlidXRlIjoiQWRtaW4ifSwic2Vzc2lvbmlkIjoiIiwic2lnbiI6IiJ9

注,如果抓到的包cookie后面不是

实战CVE-2022-23131漏洞 | 身份认证绕过

zbx_session=这个开头基本就是不能利用


我们修改后发送到重发器中发送

实战CVE-2022-23131漏洞 | 身份认证绕过

这里有这个回显即为可用,同时返回302状态码

我们直接到proxy中将修改后的包提交上去即可

实战CVE-2022-23131漏洞 | 身份认证绕过

然后我们就来到了登录页面

实战CVE-2022-23131漏洞 | 身份认证绕过

到这里就复现成功了。

 

交流群:70844080

公众号:白安全组

作者:【白】

 

参考文章:

https://jishuin.proginn.com/p/763bfbd747db

https://blog.csdn.net/weixin_46944519/article/details/123131257

 

Exp

https://github.com/jweny/zabbix-saml-bypass-exp

https://github.com/Mr-xn/cve-2022-23131


原文始发于微信公众号(白安全组):实战CVE-2022-23131漏洞 | 身份认证绕过

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月16日00:04:54
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  实战CVE-2022-23131漏洞 | 身份认证绕过 http://cn-sec.com/archives/1009026.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: