记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

zabbix SQL注入漏洞(CVE-2016-10134)复现

漏洞介绍: zabbix是一款服务器监控软件,其由server、agent、web等模块组成,其中web模块由PHP编写,用来显示数据库中的结果。 漏洞环境: 在vulhub执行如下命令,启动zabbix 3.0.3 docker-compose up -d 执行命令后,将启动数据库(mysql)、zabbix server、zabbix agent、zabbix web。如果内存稍小,可能会存在某个容器挂掉的情况,我们可以通过docker-compose ps查看容器状态,并通过docker-compose start来重新启动容器。
发布时间:2020-08-27 19:17 | 阅读:31777 | 评论:0 | 标签:漏洞 agent CVE-2016-10134 jsrpc.php PHP编写 Server SQL注入漏洞 Web z

Zabbix SQL Injection Vulnerability Technical Analysis and Solution

阅读: 17On August 12, 2016, 1n3 disclosed by email an SQL injection vulnerability in jsrpc.php in Zabbix, which can be exploited via the “insert” statement while jsrpc.php is p
发布时间:2016-09-01 04:00 | 阅读:270621 | 评论:0 | 标签:安全报告 EnglishVersion NSFOCUS Zabbix Zabbix SQL Zabbix SQL Inj

zabbix高危SQL注入漏洞分析

0x01 漏洞概述 zabbix是一个开源的企业级性能监控解决方案。近日,zabbix的jsrpc的profileIdx2参数存在insert方式的SQL注入漏洞,攻击者无需授权登陆即可登陆zabbix管理系统,也可通过script等功能轻易直接获取zabbix服务器的操作系统权限。 但是无需登录注入这里有个前提,就是zabbix开启了guest权限。而在zabbix中,guest的默认密码为空。需要有这个条件的支持才可以进行无权限注入。
发布时间:2016-08-19 11:20 | 阅读:190516 | 评论:0 | 标签:Web安全 exp poc profileIdx2 SQl Zabbix 注入漏洞 漏洞分析 漏洞测试 高危 注入 漏洞

【预警通告】Zabbix SQL注入漏洞威胁

阅读: 732016年8月12日,Zabbix软件被爆jsrpc的profileIdx2参数存在insert方式的SQL注入漏洞,同时官方公布修复了latest.php的toggle_ids参数insert方式的SQL注入漏洞,攻击者无需登录即可通过script等功能直接获取服务器的操作系统权限,经过分析发现Zabbix默认开启了guest权限,且默认密码为空。攻击难度:低。危害程度:高。
发布时间:2016-08-18 21:05 | 阅读:178653 | 评论:0 | 标签:威胁通报 sql注入漏洞 Zabbix Zabbix SQL注入漏洞 Zabbix 注入漏洞 Zabbix 漏洞 Zab

Zabbix SQL注入漏洞技术分析与防护方案

阅读: 432016年8月12日,1n3通过邮件披露了Zabbix软件的jsrpc.php文件在处理profileIdx2参数时存在insert方式的SQL注入漏洞,与官方通告的latest.php文件在处理toggle_ids参数时存在insert方式的SQL注入漏洞属于同一类型的漏洞,只是攻击的位置不同。攻击者可以使用guest账户或者已经认证的账户登录,然后利用此漏洞直接获取服务器的操作系统权限。    攻击难度:低。    危害程度:高。
发布时间:2016-08-18 21:05 | 阅读:262224 | 评论:0 | 标签:技术分享 sql注入漏洞 Zabbix Zabbix SQL注入漏洞 Zabbix 注入漏洞 Zabbix 漏洞 Zab

ZABBIX SQL注入

zabbix是一个开源的企业级性能监控解决方案。 官方网站:http://www.zabbix.com zabbix的jsrpc的profileIdx2参数存在insert方式的SQL注入漏洞,攻击者无需授权登陆即可登陆zabbix管理系统,也可通过script等功能轻易直接获取zabbix服务器的操作系统权限。
发布时间:2016-08-18 06:05 | 阅读:120224 | 评论:0 | 标签:PHP jsrpc.php latest.php zabbix 注入

漏洞预警:zabbix再爆高危SQL注入漏洞,可获操作系统权限

漏洞概述zabbix是一个开源的企业级性能监控解决方案。近日,zabbix的jsrpc的profileIdx2参数存在insert方式的SQL注入漏洞,攻击者无需授权登陆即可登陆zabbix管理系统,也可通过script等功能轻易直接获取zabbix服务器的操作系统权限。官方网站:http://www.zabbix.com影响程度攻击成本:低危害程度:高是否登陆:不需要影响范围:2.2.x, 3.0.0-3.0.3。
发布时间:2016-08-18 03:35 | 阅读:138974 | 评论:0 | 标签:漏洞 SQL注入 zabbix 前端 注入

当Opennms XXE漏洞遇上默认口令(CVE-2015-0975)

OpenNMS是一个企业级基于Java/XML的分布式网络和系统监控管理平台。 安全脉搏很早注意到OpenNMS Authenticated XXE(CVE-2015-0975),今天小编整理发布一下。 OpenNMS是你管理网络的绝好工具,它能够显示你网络中各中终端和服务器的状态和配置,为你方便地管理网络提供有效的信息。 OpenNMS科普 OpenNMS是一个企业级基于Java/XML的分布式网络和系统监控管理平台。 OpenNMS是你管理网络的绝好工具,它能够显示你网络中各中终端和服务器的状态和配置,为你方便地管理网络提供有效的信息。
发布时间:2015-03-13 19:20 | 阅读:175166 | 评论:0 | 标签:Web安全 /root/.ssh/ssh_rsa breenmachine Cacti CVE-2015-0975 di

公告

❤人人都能成为掌握黑客技术的英雄⛄️

ADS

标签云