Zabbix的前台SQL注射漏洞利用

今年8月份Map在wooyun上发了个Zabbix某前台SQL注射漏洞，11月份才公开。

漏洞详情大约是这样的：

在zabbix前端存在一个SQL注射漏洞，由于zabbix前台可以在zabbix的server和client进行命令执行，所以这会导致很严重的后果。

在 /chart_bar.php 的163行代码获取了一个来自GET,POST,COOKIE的值itemid。

$itemid = $item['itemid'];

最后这个参数进到了SQL查询的过程

在同一个文件内的$periods参数也存在一样的问题，导致了一样的SQL注射漏洞。

修复建议：对相关参数加上zbx_dbstr函数进行过滤

wooyun上给出的Poc不好用，小伙伴改了个Java版的Exp，后来研究出了如何简单识别站点有无漏洞，Exp效果如下图：

小编反编译阅读了一下Java源码改了个Python版本的：

脑补时间：

默认密码:admin/zabbix
Google:inurl:zabbix/dashboard.php

我们还清楚的记得
Zabbix SQL Injection/RCE – CVE-2013-5743
httpmon.php页面存在未经zbx_dbstr函数过滤导致注入

获取密码

)

获取sessionid（可替换刷新登陆）

)