奇安信攻防社区-Zabbix zbx_auditlog_global_script SQL注入漏洞(CVE-2024-22120)漏洞分析

Zabbix zbx_auditlog_global_script SQL注入漏洞(CVE-2024-22120)漏洞分析

Zabbix是一个开源的监控解决方案，用于监控网络和应用程序的性能和健康状况。它能够监控IT基础设施，包括服务器、虚拟机、网络设备、Web应用程序等。 Zabbix 服务器可以对配置的脚本执行命令。执行命令后，审计条目将添加到“审计日志”中。由于“clientip”字段未经过清理，因此可以将 SQL 注入“clientip”并利用基于时间的盲 SQL 注入。此漏洞可能导致权限从用户提升到管理员。在某些情况下，SQL 注入会导致 RCE。

一、漏洞简介
------

Zabbix是一个开源的监控解决方案，用于监控网络和应用程序的性能和健康状况。它能够监控IT基础设施，包括服务器、虚拟机、网络设备、Web应用程序等。

Zabbix 服务器可以对配置的脚本执行命令。执行命令后，审计条目将添加到“审计日志”中。由于“clientip”字段未经过清理，因此可以将 SQL 注入“clientip”并利用基于时间的盲 SQL 注入。此漏洞可能导致权限从用户提升到管理员。在某些情况下，SQL 注入会导致 RCE。

二、影响版本
------

6.0.0 &lt;= Zabbix &lt;= 6.0.27

6.4.0 &lt;= Zabbix &lt;= 6.4.12

7.0.0alpha1 &lt;= Zabbix &lt;= 7.0.0beta1

三、漏洞原理分析
--------

### SQL注入

参考<https://support.zabbix.com/browse/ZBX-24505>，漏洞的利用过程大概是先登录一个普通权限的账户，通过登录的账户提取其sessionID和任意一个主机ID。然后利用这两个值去注入，提取管理员session\_id和session\_key来对zbx\_session进行签名，这些数据可以一起用于生成正确的管理员zbx\_session。

从互联网上的信息可以知道，漏洞位置在`zbx_auditlog_global_script`函数中。我们`VS`编辑器打开源码（源码从[zabbix github](https://github.com/zabbix/zabbix/tags)处下载）。

全局搜索函数，在`zudit.c`中找到函数定义

![image-20240817154555507.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-cdcf4b8a945b46b27347880c40e9ad443fcac0cf.png)

在函数的223行处执行了sql语句，期间也没有对传入的参数进行过滤。那么这些参数从那里来？

![image-20240817154727767.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-17df7fedae5a54a427d153be76a82b9837769b38.png)

往前跟，只在`nodecommand.c`文件中的`execute_script`函数中进行了调用。

![image-20240817155515703.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-f13510f2fb4208b25fda537ba5b45ff1fa2b1874.png)

这些参数同样是从其他调用传进来，继续往前跟

![image-20240817155859712.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-65b6a94676fe75b2ca9a27cf45e8ecd52b1e5157.png)

最终跟踪到服务端入口处。该函数处理从前端收到的命令

![image-20240817162102883.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-d669b9d13b616f3d859e83c2320b2c933a4499f9.png)

现在找到了数据的入口，接下来就是分析数据的格式。有两种方法，一种是直接从web端查看，另一种就是跟踪处理数据的过程，一点点反推。

很显然前者更方便一些，这时候又涉及到怎么在web端找到对应得数据封包格式得问题。最简单得方法就是关键字搜索，先试一下吧，从前边的参数中选择了一个`clientip`

![image-20240817174744265.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-d7f6cfc43646a7889cae2eda417b06183c4a8e76.png)

只搜到了一个结果，点进去后看到函数名也一样，那么基本就可以确定了。

![image-20240817175025492.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-cff4b104f4fca3e2e63ab6a9d0c560e8ecc6504a.png)

跟进`request`函数看一下。先用json编码，然后封包`ZBX_TCP_HEADER`头，然后发送给后端。

![image-20240817175328502.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-c984b2f46c9f453c924a77d0118b4ce3b0e3ee43.png)

头定义如下

define('ZBX\_TCP\_HEADER\_DATA', "ZBXD");  
define('ZBX\_TCP\_HEADER\_VERSION', "\\1");  
define('ZBX\_TCP\_HEADER', ZBX\_TCP\_HEADER\_DATA.ZBX\_TCP\_HEADER\_VERSION);  
define('ZBX\_TCP\_HEADER\_LEN', 5);  
define('ZBX\_TCP\_DATALEN\_LEN', 8);

漏洞利用的时候，直接在`clientIP`的值中插入sql语句，即可造成sql注入

DBexecute("insert into auditlog (auditid,userid,username,clock,action,ip,resourceid,"  
"resourcename,resourcetype,recordsetid,details) values ('%s'," ZBX\_FS\_UI64 ",'%s',%d,'%d','%s',"  
ZBX\_FS\_UI64 ",'%s',%d,'%s','%s')", auditid\_cuid, userid, username, (int)time(NULL),  
AUDIT\_ACTION\_EXECUTE, clientip, hostid, hostname, AUDIT\_RESOURCE\_SCRIPT, auditid\_cuid,  
details\_esc)

### 权限提升

通过sql注入，可以从数据库获取管理员权限。

应用的权限认证是通过`cookie`中的`sign`的值

![image-20240817194241395.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-53d0c47ecf91504198434a334be828ee9d39794e.png)

看一下`sign`的值怎么来的，先全局搜一下，可以看到是通过`CEncryptHelper::sign`函数生成的。

![image-20240817194618525.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-aa73e5d5ada089f05bdc8464daa0bbaa473207ed.png)

看一下sign，通过一个KEY计算数据的hash。

![image-20240817201204685.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-d382720b194c958c1ac2e0cb13efea38b76bdefd.png)

这个KEY是`session key`

![image-20240817201336364.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-24c8da07441bf30c46a91a62a348c867fa8c84fb.png)

所以从数据库中获取管理员的session key，就可以以管理员权限登录。

### 命令执行

获取管理员权限之后，在管理配置中，有设置脚本的功能，可以执行系统命令

![image-20240817210046302.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-25b419835b666f8e230a73391c2cbeed1bb4a45c.png)

四、环境搭建
------

[https://www.zabbix.com/download\_appliance](https://www.zabbix.com/download_appliance)

直接下载虚拟机压缩包，打开即可

![image-20240817210759463.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-d1a9607a662318585a1ec9f07312229a7dd531b2.png)

![image-20240817210834037.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-b9d375123c480a30d5c86a26bb1fa5922122318f.png)

http://&lt;ip&gt;:80/

System:

- root:zabbix

Zabbix frontend:

- Admin:zabbix

Database:

- root:&lt;random&gt;
- zabbix:&lt;random&gt;

![image-20240817210855260.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-37bf305cdd26292a568f1082bbc5219a0ebe33af.png)

五、漏洞复现
------

sql注入

![image-20240817210454640.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-92ea2104357a8eb78e3dce7d15336051c5a71e44.png)

命令执行

![image-20240817210438678.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-bfe50722a1e102d4a526fa522022aab6b229e87c.png)

六、总结
----

该漏洞比较鸡肋，因为需要有一个普通用户的权限。然后就是系统对用户输入的参数过滤不严，导致SQL注入。

发表于 2024-08-27 09:43:43
阅读 ( 3445 )
分类：Web应用

Zabbix zbx_auditlog_global_script SQL注入漏洞(CVE-2024-22120)漏洞分析

0 条评论