温馨提示:先点关注,再防迷路!你的安全进阶之路,我来保驾护航!
郑重声明
各位看官老爷请注意!本文所涉及的技术仅供学习交流,切勿用于非法用途!任何因滥用本文信息或工具造成的直接或间接损失,均由使用者自行承担,与作者无关。请务必遵守法律法规,做一个遵纪守法的好公民!
漏洞背景大起底
话说这Zabbix,那可是开源界的一颗璀璨明星,企业级的分布式监控解决方案,监控各种IT资源,从服务器到网络设备,再到应用程序和服务,无所不能!它就像一位兢兢业业的管家,实时监控、收集数据、生成报表,还能在你IT帝国出现问题时,第一时间发出警报!但是,再厉害的管家也有疏忽的时候,这不,Zabbix前端上默认用户或者其他拥有API访问权限的角色,就可能被这个名为CVE-2024-42327的SQL注入漏洞给钻了空子!罪魁祸首就是addRelatedObjects 函数中的 CUser 类,它被 CUser.get 函数调用,而每个拥有 API 访问权限的用户都能访问这个函数,简直是防不胜防!
漏洞影响范围大盘点
- 6.0.0 <= Zabbix <= 6.0.31
- 6.4.0 <= Zabbix <= 6.4.16
- Zabbix 7.0.0
注意啦!以上版本的Zabbix都可能受到影响,赶紧检查一下你的版本!
漏洞身份证
CVE-2024-42327,记住这个编号,它就是这次安全事件的身份证!
漏洞复现现场直击
前方高能!漏洞复现开始!请各位坐稳扶好!
POC(Proof of Concept,漏洞验证代码):
温馨提示:由于微信页面对代码格式有自己的想法,建议在浏览器中打开复制,避免格式错乱!
这里我们以默认账号密码为例,带你体验一把:
POST /api_jsonrpc.php HTTP/1.1
POST /api_jsonrpc.php HTTP/1.1
Nuclei脚本(仅供参考)
id: zabbix-api_jsonrpc-sqli
注意:这只是一个引子,更详细的Nuclei脚本还需要各位大佬自行完善!
亡羊补牢,为时未晚!修复建议请收好!
官方已经发布了最新版本,强烈建议各位小伙伴们立即更新!
升级一时爽,安全有保障!
黑客/网络安全学习包
资料目录
-
成长路线图&学习规划
-
配套视频教程
-
SRC&黑客文籍
-
护网行动资料
-
黑客必读书单
-
面试题合集
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
*************************************CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享*************************************
1.成长路线图&学习规划
要学习一门新的技术,作为新手一定要先学习成长路线图,方向不对,努力白费。
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
*************************************CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享*************************************
2.视频教程
很多朋友都不喜欢晦涩的文字,我也为大家准备了视频教程,其中一共有21个章节,每个章节都是当前板块的精华浓缩。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
*************************************CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享*************************************
3.SRC&黑客文籍
大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录
SRC技术文籍:
黑客资料由于是敏感资源,这里不能直接展示哦!
4.护网行动资料
其中关于HW护网行动,也准备了对应的资料,这些内容可相当于比赛的金手指!
5.黑客必读书单
**
**
6.面试题合集
当你自学到这里,你就要开始思考找工作的事情了,而工作绕不开的就是真题和面试题。
更多内容为防止和谐,可以扫描获取~
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
*************************************CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享*********************************