Zabbix SQL(jsrpc.php) 注入漏洞分析 (以3.0.2为例)

Posted 青藤云安全

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Zabbix SQL(jsrpc.php) 注入漏洞分析 (以3.0.2为例)相关的知识,希望对你有一定的参考价值。

近日,Zabbix的web后台爆出一个sql注入漏洞。青藤云安全团队立即响应,并提出了临时&最佳解决方案。


0x00  漏洞概述

漏洞类型:SQL 注入

危险等级:高

利用条件:该漏洞需要登录,但是系统内置Guest帐号且默认为启用状态。

受影响参数:profileIdx2


0x01 POC测试

http://xxx.testzabbix.com/zabbix/jsrpc.php?sid=0bcd4ade648214dc&type=3&method=screen.get&timestamp=1471054088083&mode=2&screenid=&groupid=&hostid=0&pageFile=history.php&profileIdx=web.item.graph&profileIdx2=2%27123&updateProfile=true&screenitemid=&period=3600&stime=20170813040734&resourcetype=17&itemids[23297]=23297&action=showlatest&filter=&filter_task=&mark_color=1



0x02 漏洞分析

jsrpc.php该页面接受当传入参数 type不为6时(PAGE_TYPE_JSON 为常量6),如下图所示,可以给$data赋值$_REQUEST变量,我们知道$_REQUEST变量是接受 GET/POST/COOKIE任意一种输入的(接受COOKIE输入需要一定的配置支持),因此我们的payload不限于使用GET方法发送。

Zabbix SQL(jsrpc.php) 注入漏洞分析 (以3.0.2为例)

在我们输入的Payload当中 method=screen.get,调用的过程(switch case)是screen.get,如下图所示:

Zabbix SQL(jsrpc.php) 注入漏洞分析 (以3.0.2为例)


其中给$options[profileIdx2]赋值了$data[profileIdx2],而该值是由未经过任何过滤的$data变量通过$_REQUEST传入。


之后该方法调用了CScreenBuilder::getScreen,该方法 (CScreenBuilder::getScreen)位于 ./include/classes/screens/CScreenBuilder.php


该方法(CScreenBuilder::getScreen)的构造方法(__construct)调用了 CScreenBase::calculateTime,并传入$option[profileIdx2],此处也没有过滤,因此可以看到我们在$_REQUEST中传入的profileIdx2已经到达这里了。

Zabbix SQL(jsrpc.php) 注入漏洞分析 (以3.0.2为例)


在CScreenBase::calculateTime方法中,我们看到profileIdx2被带入了CProfile,并且是直接带入,如下图所示:

Zabbix SQL(jsrpc.php) 注入漏洞分析 (以3.0.2为例)


这里带入的时候是通过CProfile::update带入的,那么我们再来看CProfile::update方法,如下图所示:

Zabbix SQL(jsrpc.php) 注入漏洞分析 (以3.0.2为例)


发现该处也无任何过滤,而且最终该值被神奇的带到了CProfile的$insert中


因此从用户输入($_REQUEST)到带入到CProfile,参数profileIdx2未经过任何过滤器。


接下来jsrpc.php 的页面最后一行require_once了/include/page_footer.php

Zabbix SQL(jsrpc.php) 注入漏洞分析 (以3.0.2为例)

而/include/page_footer.php中调用了数据库操作,也就是CProfile::flush()方法,如下图所示:

Zabbix SQL(jsrpc.php) 注入漏洞分析 (以3.0.2为例)

该方法从CProfile::$insert中取出相应的值,并进行insertDB操作,此处没有过滤,通过遍历数组进行insertDB操作,因此总会遍历到我们的变量。

Zabbix SQL(jsrpc.php) 注入漏洞分析 (以3.0.2为例)


接下来,我们再来看insertDB操作

Zabbix SQL(jsrpc.php) 注入漏洞分析 (以3.0.2为例)


该操作的第四个参数又顺利的没有做任何过滤,最后带到了数据库进行查询 (DBexecute)。


我们再来看(DBexecute),文件位于/include/db.inc.php,发现是在本分的执行sql语句,因此我们的$_REQUEST[profileIdx2]成功的被送到了数据库并执行,也就是造成该漏洞的原因。

Zabbix SQL(jsrpc.php) 注入漏洞分析 (以3.0.2为例)


其实细心的读者会发现,带入数据库以前,许多变量都被zbx_dbstr这个函数过滤了,这个函数实际上就是mysql_real_escape_string,会对单引号双引号等特殊字符做转义。


最后不得不说的是,造成该漏洞真是需要开发人员编程时候的代码之间的各种“偶遇”,才能在层层过滤下都忘记过滤这个变量。


因此我们GET方法请求:

Zabbix SQL(jsrpc.php) 注入漏洞分析 (以3.0.2为例)

POST方法请求:

Zabbix SQL(jsrpc.php) 注入漏洞分析 (以3.0.2为例)

均可实现,如果配置允许的话COOKIE也是可以的。


0x03 影响的软件版本

目前已知受影响软件版本:2.0.x,2.2.x,2.4.x,2.5,3.0.x


0x04 相关案例

Zabbix 2.2.x, 3.0.x SQL 注入漏洞(latest.php)

点击“阅读原文”查看详细案例。


0x05 修复建议

(1)临时解决方案:

a.关闭guest访问权限,修改管理员账号为强口令。

b.对zabbix后台做访问控制,只允许指定IP访问zabbix-server后台。

(2)最佳修复方案:

升级目前最新版本的Zabbix系统(3.0.4) 


0x06 总结

该漏洞需要登录,但是系统内置Guest帐号且默认为启用状态,因此攻击者可通过Guest帐号登录并进行攻击。该漏洞实际上是zabbix latest.php注入漏洞的另一种衍生攻击方式。

青藤 简介

青藤是国内首家自适应安全服务商,目前已经为互联网金融、电子商务、企业服务领域的数十家知名互联网企业提供轻量级、弹性可扩展的新一代安全服务体系。青藤,为企业云安全保驾护航。

以上是关于Zabbix SQL(jsrpc.php) 注入漏洞分析 (以3.0.2为例)的主要内容,如果未能解决你的问题,请参考以下文章

zabbix-latest.php-SQL注入漏洞(CVE-2016-10134)

zabbix-latest.php-SQL注入漏洞(CVE-2016-10134)

zabbix-latest.php-SQL注入漏洞(CVE-2016-10134)

预警Zabbix SQL注入漏洞 威胁预警通告

Zabbix最新SQL注射漏洞利用

最新Zabbix,0day漏洞及其利用姿势(附EXP)