Комментарии 11
атакующему достаточно изменить значение поля saml_data[username_attribute] в jwt-токене, который содержится в cookie zabbix_session. В этом поле нужно указать логин администратора
Можно подробнее? Как атакующий может заполучить cookie?
При первом обращении, zabbix вам выдаст cookie, этот файл необходимо раздекодить и будет он выглядеть примерно так {"sessionid":"7c818d431e9e64c3569253f412f020bc","sign":"X16y42m2Yy7uDQLyLzHWFBMtlugFMOnHDhqvNc8hhZTQzcGCfHS94uQ3UFUvow+jzUj2fefheryBbwvFJ6zgIg=="}
Дальше уже добавляем атрибут saml_data[username_attribute] в json. В итоге получается
{"saml_data":{"username_attribute":"Admin"},"sessionid":"7c818d431e9e64c3569253f412f020bc","sign":"X16y42m2Yy7uDQLyLzHWFBMtlugFMOnHDhqvNc8hhZTQzcGCfHS94uQ3UFUvow+jzUj2fefheryBbwvFJ6zgIg=="} и декодим обратно в base64.
Ага, то есть нужно сначала залогиниться, или получить доступ до браузера с активной сессией?
Нет, логиниться не надо.
Как тогда получить cookie?
"In the case of instances where the SAML SSO authentication is enabled (non-default)"
Можно выдохнуть ;)
При первом посещении сайта, приложение вам выдаст гостевую cookie. Зайдите на http://185.15.20.140:8081 (взял рандомный с шодана zabbix), убедитесь, что файл cookie будет выдан.
Да, спасибо, уже понял. Неприятно, у кого он так настроен.
ЗЫ: нужно обновляться:
Fixed in:
5.4.9rc2 aaad5fefcdb, eea1f70ac66
6.0.0beta2 (master) b0f916a867a, 96e900cf3d3
Всё начинается с того что у вас есть доступ в заббикс, потом повышение привелегий, потом в некоторых случаях особые настройки агентов... Понятно, значит верно защищали до этой статьи мониторинг...
хм, кому вообще может в голову прийти ставить агентов с EnableRemoteCommands=1 ?
Обход аутентификации и способы выполнения произвольного кода в ZABBIX