ActiveMQ  任意文件上传 漏洞 PUT

已于 2023-05-26 09:06:35 修改
阅读量1.1k 收藏
点赞数 3
文章标签: 网络安全 web安全 Powered by 金山文档
于 2023-01-10 14:58:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/U_U520/article/details/128630008
版权

ActiveMQ是什么?

是消息队列的容器,专注于高并发的环境,比如天猫淘宝一秒钟上亿请求,就好比是水池,把大量短时间无法处理的数据,冗余囤积到ActiveMQ里,再分门别类,按类专门处理,从而提高处理效率。

介绍:

登录admin账号:默认账号admin/admin,抓包进行修改,使用PUT方法上传文件。

ActiveMQ Web控制台分为三个应用程序:其中admin,api和fileserver,其中admin是管理员页面,api是界面,fileserver是用于存储文件的界面;admin和api需要先登录才能使用,fileserver不需要登录。

1  PUT上传 




                

        

        

    




        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        

    

      

        

            

              
                
                  不动明王_你懂不懂
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                    3
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    0
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
                
  • 
                  
                    打赏
                    
                  
                  
    打赏
    
                
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      










                



	

		

			

				
					
CTF-PUT上传漏洞

				
			

			

				

					不知名白帽的博客
				

				

					05-27
					
					756
					
				

			

		

		

			
				
CTF-PUT上传漏洞,实验环境:kali(192.168.20.128),靶机(192.168.20.137)。进行信息探测,漏洞扫描未发现有效信息后,测试PUT漏洞,发现存在PUT漏洞,下载插件Poster(RESTClient),然后上传大马反弹shell

			
		

	



                

              
                



	

		

			

				
					
TomcatPUT的文件上传漏洞(CVE-2017-12615)

				
			

			

				

					weixin_52458793的博客
				

				

					02-12
					
					1153
					
				

			

		

		

			
				
详细教程

			
		

	



                


  
              

                


	

		

			

				
					
文件上传漏洞 详细教程(最全讲解)

					
最新发布

				
			

			

				

					m0_69043895的博客
				

				

					04-22
					
					1851
					
				

			

		

		

			
				
硬怼的话,主要是从下面这些方法入手去操作。(1)fuzz后缀名看看有无漏网之鱼(针对开发自定义的过滤可能有机会,针对waf基本不可能。更多的情况是php的站寻找文件包含或者解析漏洞乃至传配置文件一类的,但是对于这种也大可不必fuzz后缀名了)(2)http头变量改造首先要明确waf的检测特征,一般是基于某种特定的情况下,去针对相应的拦截。

			
		

	





	

		

			

				
					
文件上传漏洞

				
			

			

				

					weixin_58954236的博客
				

				

					09-02
					
					1227
					
				

			

		

		

			
				
文件上传Web 应用必备功能之一,如,头像上传,附件分享等。如果服务器配置不当或者没有进行足够的过滤,Web 用户就可以上传任意文件,包括恶意脚本文件,exe 程序等等,这就造成了任意文件上传漏洞

			
		

	



		

			
		



	

		

			

				
					
Tomcat中间件PUT漏洞-任意文件上传漏洞

				
			

			

				

					weixin_46411728的博客
				

				

					08-11
					
					697
					
				

			

		

		

			
				
Tomcat中间件PUT任意文件上传漏洞

			
		

	





	

		

			

				
					
文件上传漏洞详解

				
			

			

				

					Y22Lee的博客
				

				

					04-13
					
					5313
					
				

			

		

		

			
				
文件上传漏洞是指由于程序员在对用户文件上传部分的控制不足或者处理缺陷,而导致的用户可以越过其本身权限向服务器上上传可执行的动态脚本文件。这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等。这种攻击方式是最为直接和有效的,“文件上传”本身没有问题,有问题的是文件上传后,服务器怎么处理、解析文件。文件上传功能在web应用系统很常见,比如很多网站注册的时候需要上传头像、上传附件等等。

			
		

	





	

		

			

				
					
activeMQ 服务端客户端 java代码

				
			

			

				

					10-09
				

			

		

		

			
				
在 `conf` 文件夹中,`activemq.xml` 是主要的配置文件。这里可以设置 broker 的网络连接、存储策略、主题和队列等。例如,配置监听端口:  ```xml     ```  ### 3. 创建 Java 服务端  服务端通常负责创建消息代理并...

			
		

	





	

		

			

				
					
ActiveMQ-Artemis .pdf

				
			

			

				

					08-08
				

			

		

		

			
				
Apache ActiveMQ Artemis 所有使用方面的深入手册文档。

			
		

	





	

		

			

				
					
ActiveMQ最新jar包

				
			

			

				

					05-29
				

			

		

		

			
				
ActiveMQ 是Apache出品,最流行的,能力强劲的开源消息总线。ActiveMQ 是一个完全支持JMS1.1和J2EE 1.4规范的 JMS Provider实现,尽管JMS规范出台已经是很久的事情了,但是JMS在当今的J2EE应用中间仍然扮演着特殊的...

			
		

	





	

		

			

				
					
activemq linux版本安装包

				
			

			

				

					06-30
				

			

		

		

			
				
打开 `/opt/activemq/bin/env` 文件,确保`JAVA_HOME`指向你的JDK安装路径:  ```bash nano /opt/activemq/bin/env ```  在文件末尾添加:  ```bash JAVA_HOME=/usr/lib/jvm/java-8-openjdk-amd64 # 替换为你的实际...

			
		

	





	

		

			

				
					
ActiveMQ 教学视频/教程 /附带笔记等资源

				
			

			

				

					08-08
				

			

		

		

			
				
ActiveMQ 是一个开源的消息中间件,它遵循Java消息服务(JMS)标准,为企业级应用程序提供高效率、可扩展和可靠的异步通信解决方案。在这个"ActiveMQ 教学视频/教程 /附带笔记等资源"的压缩包中,你将找到一系列关于...

			
		

	





	

		

			

				
					
文件上传之IIS—put漏洞

				
			

			

				

					一个普普通通的博客
				

				

					03-16
					
					4600
					
				

			

		

		

			
				
iis—put漏洞

			
		

	





	

		

			

				
					
IIS put上传漏洞

				
			

			

				

					dqd66的博客
				

				

					10-17
					
					1431
					
				

			

		

		

			
				
2.更改后缀(使用copy或者move方法 将上传好的文本文件复制到cmd.asp 中 然后使用中国菜刀连接)会在返回的 Allow 消息头中,包含 PUT,MOVE,COPY 可能存在IIS PUT上传漏洞。导致HTTP支持PUT相关方法,导致IIS上传漏洞 用户可以向指定目录上传任意文件。IIS Put 上传漏洞前提 :1,IIS开启WebDAV。1.上传(使用PUT方法 上传文本文件 1.txt)3,设置站点目录权限,是的IIS用户不具有写入权限。//chopper是密码。IIS put上传漏洞

			
		

	





	

		

			

				
					
ActiveMQ传输文件的几种方式原理与优劣

					
热门推荐

				
			

			

				

					KimmKing的技术博客
				

				

					12-20
					
					5万+
					
				

			

		

		

			
				
本文讨论ActiveMQ传输文件的几种方法的原理及其利弊,作为消息发送、直接传输文件、使用ftp或http中转。最后介绍扩展ActiveMQ实现自定义文件传输方式,讨论如何实现高效的文件传输。by kimmking
作为消息发送
按照JMS规范,为了保证可靠性,所有的消息都应该是发送到broker,然后交由broker来投递的。也即是说其实JMS是不建议或不支持传输文件的。
对于比较小的文件

			
		

	





	

		

			

				
					
(CVE-2017-12615)Tomcat PUT方法任意文件上传漏洞

				
			

			

				

					weixin_45253622的博客
				

				

					03-29
					
					6063
					
				

			

		

		

			
				
(CVE-2017-12615)Tomcat任意文件上传漏洞
漏洞介绍
在一定条件下,攻击者可以利用漏洞,获取用户服务器上 JSP 文件的源代码,或是通过精心构造的攻击请求,向用户服务器上传恶意JSP文件,通过上传的 JSP 文件 ,可在用户服务器上执行任意代码,从而导致数据泄露或获取服务器权限,存在高安全风险。
漏洞条件:
存在漏洞的Tomcat运行在Windows主机上,并且启用了HTTP PUT请求方法(例如:将readonly初始化参数由默认值设置为false)
影响版本

Apache Tomca

			
		

	





	

		

			

				
					
IIS6.0 PUT上传漏洞

				
			

			

				

					课嗨教育的专栏
				

				

					09-15
					
					1685
					
				

			

		

		

			
				
它扩展了HTTP 1.1,在GET、POST、HEAD等几个HTTP标准方法以外添加了一些新的方法,使应用程序可对Web Server直接读写,并支持写文件锁定(Locking)及解锁(Unlock),还可以支持文件的版本控制。该漏洞产生原理来源于服务器配置不当,利用IIS PUT Scancer 扫描有漏洞的IIS,漏洞主要是由于IIS服务器开启了webdav的组件导致IIS支持PUT写入功能。修改域名—>数据包格式选择PUT—>选择你要上传的大马—>提交数据包—>返回201成功。webdav扩展开启。

			
		

	





	

		

			

				
					
[应用安全]之ActiveMQ漏洞利用方法总结

				
			

			

				

					zhang8907xiaoyue的博客
				

				

					03-22
					
					7201
					
				

			

		

		

			
				
Apache ActiveMQ是Apache软件基金会所研发的开放源代码消息中间件;由于ActiveMQ是一个纯Java程序,因此只需要操作系统支持Java虚拟机,ActiveMQ便可执行。ActiveMQ 是一个完全支持JMS1.1和J2EE 1.4规范的 JMS Provider实现,尽管JMS


应用介绍

Apache ActiveMQ是Apache软件基金会所研发的开放源代码

			
		

	





	

		

			

				
					
ActiveMQ任意文件写入漏洞(CVE-2016-3088)

				
			

			

				

					weixin_44311721的博客
				

				

					08-03
					
					1444
					
				

			

		

		

			
				
ActiveMQ任意文件写入漏洞(CVE-2016-3088)
ActiveMQ介绍:
Apache ActiveMQ是美国阿帕奇(Apache)软件基金会所研发的一套开源的消息中间件,它支持Java消息服务、集群、Spring Framework等。什么是:消息中间件
漏洞简介:
ActiveMQweb控制台分三个应用,admin、api和fileserver,其中admin是管理员页面,ap...

			
		

	





	

		

			

				
					
任意文件上传漏洞修复

				
			

			

				

					qq_31763129的博客
				

				

					05-09
					
					5360
					
				

			

		

		

			
				
 一、/include/dialog/select_soft_post.php文件,搜索(大概在72行的样子)      $fullfilename = $cfg_basedir.$activepath.'/'.$filename;      修改为      if (preg_match('#\.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml...

			
		

	





	

		

			

				
					
 ActiveMQ 漏洞

				
			

			

				

					10-12
				

			

		

		

			
				
关于 ActiveMQ 漏洞,我可以告诉你一些基本信息。ActiveMQ 是一种流行的开源消息代理,但是它也存在一些漏洞,例如:

1. CVE-2015-5254:ActiveMQ 可能允许未经身份验证的攻击者执行任意代码。
2. CVE-2016-3088:ActiveMQ 可能允许攻击者通过发送恶意的 OpenWire 协议数据包来执行任意代码。
3. CVE-2016-2166:ActiveMQ 可能允许攻击者通过发送恶意的 STOMP 协议数据包来执行任意代码。

为了保护 ActiveMQ,建议及时更新到最新版本,并采取其他安全措施,例如限制网络访问和加强身份验证。



			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  





	
打赏作者

	

		

		
			
		
		

		

			
不动明王_你懂不懂

			
你的鼓励将是我创作的最大动力

		

	

	

			

	

	

    ¥1
    ¥2
    ¥4
    ¥6
    ¥10
    ¥20
	

	

		

			

				

					扫码支付:¥1
				

				

					

					
					获取中
					

				

				

					
					
					扫码支付
				

			

		

		

			
您的余额不足,请更换扫码支付或充值

			
打赏作者

		

	



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值