CVE-2021-27928漏洞复现（上） Zabbix后台入侵及渗透思路

2025年2月15日23:35:49评论17 views字数 2396阅读7分59秒阅读模式

0x00准备

这里我用的是HTB（hack the box）里的机器，对于像我这种菜鸟来说，是很友好的一个平台（想了解这个平台的可以留言找我）；由于我会将渗透思路完整列出，所以篇幅较长，CVE-2021-27928的具体细节放在下篇再讲（但这是重点）。其余的，咱有个kali就差不多了，hashcat如果没有安装的话也不用急，等会儿介绍。

0x01 信息收集

首先咱们把的ip地址给它复制下来，然后二话不说，先开nmap扫就对了，这段命令初学者可以背下来，是我们平时最常用的格式之一。

nmap -sC -sV -v -T4 10.10.11.124

然后二话不说，先开nmap扫就对了，这段命令初学者可以背下来，是我们平时最常用的格式之一。

sC参数表示使用nmap脚本进行探测

sV表示探测目标机器上的服务信息

-T4指定扫描过程中使用的时序

-v指显示详细的扫描过程

nmap -sC -sV -v -T4 10.10.11.124

接着我们可以发现，80端口是打开的，其余的版本等信息我们平时做渗透也要留意，但在这里就先不赘述了。

于是自然而然的，因为有80端口，我们尝试用浏览器打开（注意是http）

但是我们可以发现，这里将我们重定向到了一个不存在的页面，如何防止重定向，这也是一个知识点。

我们只要在本地host文件中改一改，让10.10.11.124始终指向shibboleth.htb，注意这里的格式像我这样就行了，ip与地址中间几个空格无所谓，不需要其他的修改。

那我们再次尝试，就成功地跳转到了这个页面。

拿到网站之后，我们首先要到处找一找有什么有用的界面。收获不多，但我们要把这些whois信息给记录下来，这是一个好习惯。

只找到一个类似提交建议的界面，那我们先看看返回的数据包（这里就不用Burpsuite那么麻烦了，只是参考一下）。

然后我们可以看到，按下提交按钮之后，网站向contact.php发送了一个表单（也可以在源码中发现）。

那我们试试能不能访问到它，果然，不出意料的失败了。

0x02 漏洞探测

既然这个路径不行，我们就用gobuster爆破一下网站路径。gobuster是做渗透测试时，目录、文件和DNS爆破都很好用的一个工具，这里的命令我先写出来。

这主要是用来查找其他的html页面，看看能不能从旁站入手，这个可以自己根据需要修改。

gobuster dir -u http://shibboleth.htb/ -w ~/SecLists/Discovery/Web-Content/raft-small-words.txt -o gobuster.out -x html

找到了一些，但是一一试过用处不大，所以我们要另寻出路。

Wfuzz是类似gobuster的一种工具（Fuzz是爆破的一种手段），这里和刚刚有些不用，主要是爆破前缀，我们不用死记硬背，记录下来就ok。

wfuzz -H 'Host:FUZZ.shibboleth.htb' -u http://shibboleth.htb -w ~/SecLists/Discovery/DNS/subdomains-top1million-5000.txt

看到结果，很明显我们需要过滤一下无用的信息，这里以26W为主

加上--hw 26就可以达到我们的目的啦。

wfuzz -H 'Host:FUZZ.shibboleth.htb' -u http://shibboleth.htb -w ~/SecLists/Discovery/DNS/subdomains-top1million-5000.txt --hw 26

有三个payload，我们全部尝试一下。

在此之前，别忘了刚刚的重定向，我们继续在本地host文件中把他们加上，格式如下

查找后，得到下面两个一样的界面，那就挑一个用。

我们来看看它的源码，很明显，这就是我们要找的Zabbix后台

0x03 漏洞利用

注入的方法我已经试过了，但这不是重点，再用nmap看看，有没有其他UDP的端口，要注意，一定要把--min-rate 5000和-F加上，不然能扫一整年。

接着这里我们发现，623端口它是打开的，并且开启了asf-rmcp服务，所以我们可以用google查一下。

这个IPMI（智能平台管理接口）很明显就是我们的突破口，那对于这种接口，最好的办法就是用msf来操作它。

“1”正是我们所需要的功能——提取密码Hash值

这二者正是我们需要的功能，咱们全部用上。然后经过一顿流程操作，我们顺利拿到了管理员的用户名和密码的Hash值。

赶紧把这串Hash值记录一下~

看到Hash值，我们首先想到，当然就是Hashcat这款强大的破解工具，如果没有安装不要紧，照着命令弄就行了

wget https://hashcat.net/files/hashcat-6.2.5.7zapt-get install p7zip7za x hashcat-6.2.5.7z

然后我们再看看帮助文档

翻了半天，终于找到了我们需要的那个值

话不多说，直接运行，这里的rockyou.txt是一个非常强大的字典，有兴趣的兄弟可以留言找我拿，-m后面要加上7300这种数，用于指定密码类型，不然就默认为md5了。

hashcat -m 7300 hash /usr/share/wordlists/rockyou.txt

密码就这样弄到手啦，赶紧去试一试

成功！

0x04总结

其实真正的挖洞过程中，我们还可以用XSS+CSRF，以及对后台用弱口令、注入等方式，甚至是看代码逻辑，不过那就是另一个故事了~~

参考文章：

https://www.rapid7.com/blog/post/2013/07/02/a-penetration-testers-guide-to-ipmi/

原文始发于微信公众号（广软NSDA安全团队）：CVE-2021-27928漏洞复现（上）-- Zabbix后台入侵及渗透思路

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

CVE-2021-27928漏洞复现（上） Zabbix后台入侵及渗透思路

0x00准备

0x04总结

PG_Vmdak

如何搭建符号执行环境并跑通第一个测试样例

渗透测试|柳暗花明(记一次有趣的高危漏洞以及思考修复方案)

从通过 .js 文件中找到的 URL 访问受限功能，到通过修改 API上HTTP响应中的accessLevel值进行权限提升

Web3 安全入门避坑指南｜剪贴板安全

利用n8n结合ollama-Deepseek大模型创建智能体

如何利用图像验证技术识别钓鱼攻击？

Webshell免杀思路-PHP篇-1：经典混淆的艺术

CimFS：内存崩溃，查找系统（内核版）

Astral-PE 是用于本机 Windows PE 文件（x32/x64）的低级变异器（Headers/EP 混淆器）

发表评论

在线咨询

微信