码迷,mamicode.com
首页 > 其他好文 > 详细

zabbix注入过程分析

时间:2016-08-21 00:49:49      阅读:151      评论:0      收藏:0      [点我收藏+]

标签:

Zabbix jsrpc.php sql 注入过程分析

    漏洞公开详情(https://support.zabbix.com/browse/ZBX-11023)中提示在insertDB() 中的insert方式存在SQL注入漏洞,如下图:

    技术分享

    我们来逐步分析下

    直接定位到cprofile:flush()函数所在的文件cprofile.php,代码如下。

    技术分享

    在inserDB方法中。直接将self::$insert里的数组进行拆分遍历后放入了insert 语句中进行拼接。我们学过那么多的sql注入课程后,很快就能判断,如果在$insert值可控,那么我们就能在此处构造出sql注入

    技术分享

    我们搜索下,调用了flush静态方法的有哪些文件:

    技术分享

    看看page_footer.php这个文件吧。

    技术分享

    现在要想进入到CProfile::flush()函数,还必须满足前提条件是CProfile::isModified()函数为真,再次回到CProfile.php文件,经过仔细分析,我们可以看到,当CProfile.php中的self::$insert 不为空,才可以正确走向我们预定的流程中,CProfile.php中的CProfile::update函数会将self::$insert进行赋值,搜索源码后,很多地方调用了CProfile::update,为此我们只要挑出可以被guest权限访问的即可。在Include/classes/screens/CScreenBase.php中如下代码

    技术分享

的calculateTime 函数中有调用。并且没有对$options进行过滤。对此我们需要顺藤摸瓜,构造出相应的参数来进行注入 。

    技术分享

    技术分享

    接着,我们回到jsrpc.php可以看到如何调用到CScreenBase

    在

    技术分享

中调用了CScreenBuilder::getScreen函数

    技术分享

    当CScreenBuilder 中 技术分享

    接着

    技术分享

    最终,我们可以构造出一条完成的调用链

    如下所示:

    Jsrpc.php->CScreenBuild.php : getScreen -> CScreenHistory -> CScreenBase

    当我们的参数可以使得程序按我们所需的流程进行走下去的话,必定会产生注入。

    理解了上述过程然后开始下面的实验

    按照上述注入分析,构造出注入语句以及参数。

zabbix注入过程分析

标签:

原文地址:http://www.cnblogs.com/cp-miao/p/5791590.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!