tSt是一个爱好网络安全的菜鸟,记录生活及学习点滴,关注网络安全技术。
zabbix是一个开源的企业级性能监控解决方案。
官方网站:http://www.zabbix.com
zabbix的jsrpc的profileIdx2参数存在insert方式的SQL注入漏洞,攻击者无需授权登陆即可登陆zabbix管理系统,也可通过script等功能轻易直接获取zabbix服务器的操作系统权限。
漏洞利用方式见:传送门
用ZoomEye搜索一下发现有很多嘛:传送门