登录

zabbix注入漏洞具体利用

zabbix注入漏洞具体利用
具体利用:其实直接获取sessionid就可以了,获取到sessionid以后去进行cookie欺骗,就可以直接进入后台 步骤:打开登录框(不要输入账号密码)——抓包——修改sessionid——发包=OK 手工方式: 获取账号密码: http://1.2.3.4/jsrpc.php?type=9& … .graph&pr……继续阅读 »

0x0 1年前 (2016-08-19) 534浏览 0评论 2个赞

ZabbixSQL注入漏洞利用检测脚本(爆出用户名和密码)

ZabbixSQL注入漏洞利用检测脚本(爆出用户名和密码)
漏洞描述 zabbix的jsrpc的profileIdx2参数存在insert方式的SQL注入漏洞,攻击者无需授权登陆即可登陆zabbix管理系统,也可通过script等功能轻易直接获取zabbix服务器的操作系统权限。漏洞详情及进一步利用请自行百度,代码仅供漏洞自查和学习研究,,请勿非法攻击他人网站。 #-*- coding:utf-8 -*- #……继续阅读 »

0x0 1年前 (2016-08-19) 468浏览 0评论 2个赞