目录
靶标介绍
Zabbix Sia Zabbix是拉脱维亚Zabbix SIA(Zabbix Sia)公司的一套开源的监控系统。该系统支持网络监控、服务器监控、云监控和应用监控等。 Zabbix 存在安全漏洞,该漏洞源于在初始设置过程之后,setup.php 文件的某些步骤不仅可以由超级管理员访问,也可以由未经身份验证的用户访问。
开启靶场
根据社会工程学方法可得:账号是 Admin,密码是 zabbix,登录上去是下面这样的页面
找了好久之后,在这里发现了 ping 的功能
在 dnslog 平台开启一个子域名之后,ping 一下,保存之后
在这个地方触发一下,点击 ping
回到 dnslog 平台发现 ping 成功了
获取flag
再回来,使用 cat 命令查看一下 flag
触发之后弹出弹窗显示了 flag
