Apache RocketMQ远程代码执行

已于 2023-10-10 11:19:16 修改
阅读量400 收藏 1
点赞数
文章标签: apache rocketmq 网络安全 安全 web安全 系统安全 安全架构
于 2023-10-09 10:24:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hackzkaq/article/details/133695389
版权
Apache RocketMQ 5.1.0及以下版本存在远程命令执行风险,攻击者可利用NameServer、Broker和Controller组件的配置更新功能执行命令。漏洞编号CVE-2023-33246,影响版本包括4.9.5。通过工具如CVE-2023-33246复现漏洞,涉及任意文件写入和任意代码执行。补丁已发布,但需注意环境安全。
摘要由CSDN通过智能技术生成

目录

漏洞概述

环境搭建

docker环境

漏洞复现

漏洞分析

任意文件写入

漏洞分析

漏洞复现

任意代码执行

EXP

                  @ 学习更多渗透技能!体验靶场实战练习

漏洞概述

Apache RocketMQ是一个分布式消息中间件,专为万亿级超大规模的消息处理而设计,具有高吞吐量、低延迟、海量堆积、顺序收发等特点。RocketMQ 5.1.0及以下版本,在一定条件下,存在远程命令执行风险。RocketMQ的NameServer(9876端口)、Broker(10911端口)、Controller等多个组件暴露在外网且缺乏权限验证,攻击者可以利用该漏洞利用更新配置功能以RocketMQ运行的系统用户身份执行命令。此外,攻击者可以通过伪造 RocketMQ 协议内容来达到同样的效果

影响范围

Apache RocketMQ <= 5.1.0

Apache RocketMQ <= 4.9.5

漏洞编号:CVE-2023-33246

官网描述如下:

也即是多个组件暴露在外网且缺乏权限验证

这次的漏洞实际上是两个洞,但是只收录了一个,RCE的过程中,用到了前面的一部分

环境搭建

FOFA:title="RocketMQ"

docker环境

拉取docker镜像

docker pull apache/rocketmq:5.1.0
docker pull apacherocketmq/rocketmq-console:2.0.0

启动namesrv

docker run -dit -p 9876:9876 -p 10909:10909 --name mqsrv -e "MAX_POSSIBLE_HEAP=100000000" apache/rocketmq:5.1.0 sh mqnamesrv /bin/bash

启动broker

docker run -dit -p 10909:10909 -p 10911:10911 --name mqbroker --restart=always --link mqsrv:namesrv -e "NAMESRV_ADDR=namesrv:9876" -e "MAX_POSSIBLE_HEAP=200000000" apache/rocketmq:5ok.1.0 sh mqbroker -c /home/rocketmq/rocketmq-5.1.0/conf/brer.conf

启动console

 docker run -dit --name mqconsole -p 8089:8080 -e "JAVA_OPTS=-Drocketmq.config.namesrvAddr=mqsrv:9876 -Drocketmq.config.isVIPChannel=false" apacherocketmq/rocketmq-console:2.0.

访问8089看到控制台,arm下这个docker有一些问题,这里就直接用二进制环境复现

bin环境

./mqbroker
./mqnamesrv
./mqcontroller

其实可以只用broker组件来复现,任意文件写入是三个组件均存在的

漏洞复现

采用工具https://github.com/Le1a/CVE-2023-33246(该工具可以还原配置,不然要重复执行)

或者https://github.com/Serendipity-Lucky/CVE-2023-33246

两个工具用法稍微有一点不一样,具体用法看markdown文档,交互的过程用的自带的协议

python实现

import socket
import binascii
client = socket.socket()
# you ip
client.connect(('192.168.111.129',10911))
# data
json = '{"code":25,"extFields":{
最低0.47元/天 解锁文章
zkzq
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
漏洞复现 || Apache RocketMQ 远程代码执行
失心少年
07-10 362
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!!
apache RocketMQ远程代码执行(CVE-2023-33246)
sweetie 的博客
06-05 929
RocketMQ是阿里巴巴在2012年开发的分布式消息中间件,专为万亿级超大规模的消息处理而设计,具有高吞吐量、低延迟、海量堆积、顺序收发等特点。它是阿里巴巴双十一购物狂欢节和众多大规模互联网业务场景的必备基础设施。RocketMQ的NameServer、Broker、Controller等多个组件暴露在外网且缺乏权限验证,攻击者可以利用该漏洞利用更新配置功能以RocketMQ运行的系统用户身份执行命令
RocketMq NameServer未授权访问导致远程代码执行(CVE-2023-37582)
whoami
07-14 2620
在CVE-2023-37582 中,由于对 CVE-2023-33246 修复不完善,导致在Apache RocketMQ NameServer 存在未授权访问的情况下,攻击者可构造恶意请求以RocketMQ运行的系统用户身份执行命令。{"code":0,"flag":1,"language":"JAVA","opaque":266,"serializeTypeCurrentRPC" 字样,即表示RocketMq NameServer是未授权访问的,可能存在漏洞。以此向crotab写入可执行的定时命令
Apache RocketMQ 远程代码执行漏洞(CVE-2023-33246)
蚁景网安学院
08-01 539
RocketMQ 5.1.0及以下版本,在一定条件下,存在远程命令执行风险。RocketMQ的NameServer、Broker、Controller等多个组件外网泄露,缺乏权限验证,攻击者可以利用该漏洞利用更新配置功能以RocketMQ运行的系统用户身份执行命令。 此外,攻击者可以通过伪造 RocketMQ 协议内容来达到同样的效果。
Apache RocketMQ远程命令执行漏洞【CVE-2023-37582】
holyxp的博客
07-14 3116
Apache RocketMQ是一款开源的分布式消息和流处理平台,提供高效、可靠、可扩展的低延迟消息和流数据处理能力,广泛用于异步通信、应用解耦、系统集等场景。加密货币行业有大量平台采用此产品用来处理消息服务,注意风险。当RocketMQ的NameServer组件暴露在外网时,并且缺乏有效的身份认证机制时,攻击者可以利用更新配置功能,以RocketMQ运行的系统用户身份执行命令。7.12日Apache RocketMQ发布严重安全提醒,披露远程命令执行漏洞(CVE-2023-37582)
Apache Flink 未授权访问+远程代码执行.pdf
最新发布
04-30
### Apache Flink 未授权访问与远程代码执行漏洞解析及防范 #### 一、漏洞概述 **Apache Flink**是一款高性能、分布式、流处理引擎,它支持事件驱动的数据流处理和批处理作业。由于其出色的性能表现,在大数据处理...
Apache RocketMQ 源码解析1
08-03
Apache RocketMQ 是一款高度可扩展、高性能的消息中间件,它被广泛应用于互联网和金融行业的核心基础设施。本篇文章将深入解析RocketMQ的源码,特别是关于DLedger多副本和主从切换的部分,以及如何利用Raft协议实现...
Apache Dubbo远程代码执行漏洞(CVE-2021-43297)
10-25
将 Dubbo 升级到 2.6.12、2.7.15、3.0.5 及以上版本
Apache tomcat远程代码执行验证代码
04-16
这个标题和描述提到了"Apache Tomcat远程代码执行验证代码",这通常涉及到一个安全漏洞,允许攻击者通过发送特定的HTTP请求在服务器上执行任意代码远程代码执行(RCE)是一种严重的安全风险,它允许攻击者在目标...
Apache Druid远程代码执行漏洞响应通告
05-05
Apache Druid远程代码执行漏洞响应通告
Apache RocketMQ 远程命令执行漏洞(CVE-2023-33246)vulhub漏洞复现
qq_53003652的博客
07-12 731
在其5.1.0版本及以前存在一处命令执行漏洞,攻击者通过向其更新配置相关的功能发送指令即可更新任意配置项,并通过配置项中存在的命令注入功能执行任意命令。在192.168.126.128开启nc启动监听,运行该poc。Apache RocketMQ是一个分布式消息平台。创建hacker文件成功。使用IDEA新建一个。
RocketMQ-单机版安装及远程连接测试
innerpeacez成长之路
05-10 9048
安装需要 jdk 1.8 centos 7 rocketmq 4.2.0 因为我是在阿里云ECS上安装的,所以centos就不用说了,jdk的安装,如果没有安装可以看这篇文章:CentOS配置JAVA_HOME,下面就开始正式的安装过程了。 安装步骤 1. 下载rocketmq 4.2.0 通过wget命令下载,首先安装wget yum install wget 然后下载ro...
【高危】RocketMQ NameServer存在远程代码执行漏洞(PoC)
murphysec的博客
07-24 450
RocketMQ 是一个开源的分布式消息中间件,NameServer 为 Producer 和 Consumer 节点提供路由信息的组件。
rocketmq开启远程访问
qq_38410795冰淇淋的博客
11-23 2500
1、开放9876端口和10911端口 2、修改conf/broker.conf,在最后加上 brokerIP1=xx.xx.xx.xx (自己的公网ip) 3、broker启动时需改成自己的公网ip nohup sh mqbroker -n xx.xx.xx.xx:9876 -c ../conf/broker.conf >/usr/local/rocketmq/logs/broker.log 2>&1 & ...
rocketmq部署远程访问
sa1kou的博客
12-01 3462
1 按照官网文档部署没有太大问题,部署在远程访问有几点需要说明。 2 修改内存配置,默认需要的内存实在太大,文件是runserver和runbroker。 3 修改conf/broker.conf,加上 namesrvAddr=xxx.xxx.xxx.xxx:9876 brokerIP1=xxx.xxx.xxx.xxx 改成你的公网ip就行 4 broker启动需要指定配置文件,设置...
RocketMQ 云主机上单机部署支持远程访问
xyzcto的博客
05-30 526
2. 解压并修改配置,由于云主机特别是一些免费额度的云主机资源有限,要成功启动RocketMQ服务需要修改默认配置。3. 修改云主机的安全组规则,增加 9876, 10909,10911, 10912 端口的外网访问。在其中增加一行,注意后面不要有空格,用你的主机的外网IP替换xx.xx.xx.xx。以上是默认端口,需要修改端口,在conf/broker.conf中进行修改。2) 启动Broker, 用的云主机外网IP替换xx.xx.xx.xx。注意你使用的java版本,修改对应的部分。
如何用MQ实现RPC远程调用?(附代码
緑水長流*z
03-14 425
以前的几种模式的通信都是基于Producer发送消息到Consumer,然后Consumer进行消费,假设我们需要Consumer操作完毕之后返回给Producer一个回调呢?前面几种模式就行不通了;例如我们要做一个远程调用加钱操作,客户端远程调用服务端进行加钱操作,操作完毕之后服务端将用户最新的余额返回给客户端;客户端进行后续操作,例如更新到数据库等;RPC业务分析在RPC模式中,客户端和服务器都是Producer也都是Consumer;
三、【漏洞复现】ActiveMQ Fileserver远程代码执行漏洞
weixin_52351575的博客
09-20 687
ActiveMQ Web控制台分为三个应用程序:admin,api和fileserver,其中admin是管理员页面,api是界面,fileserver是用于存储文件的界面;admin和api需要先登录才能使用,fileserver不需要登录。此漏洞出现在Fileserver应用程序中,该漏洞的原理实际上非常简单,即文件服务器支持写入文件(但不解析JSP),同时支持移动文件(MOVE请求)。1、编写Webshel​​l(方便,但文件服务器不需要解析jsp,admin和api都需要登录才能访问)
Apache RocketMQ NameServer 远程代码执行漏洞(CVE-2023-37582)分析
Yb528970805的博客
09-07 542
最后的返回的realStorePath在这里赋值,storePathFiled是一个Field实例化的类,这个类是用于反射的,看到它时configStorePath字段,所以这里全是就是获取的其实是storePathObject中configStorePath的值。这些都是我们在RocketMQ的协议中的body可以控制的,并且没有被过滤,过滤的properties为configStorePathName。最近,阿里云又发布了RocketMQ的漏洞通告,因为才分析过这个漏洞,所以再来看一下。
Apache RocketMQ深度解析与实战指南
"分布式消息引擎Apache RocketMQ最佳实践" 在当今的云计算和大数据时代,分布式消息引擎扮演着至关重要的角色,而Apache RocketMQ作为阿里巴巴开源的一款高效、稳定且可扩展的消息中间件,已经成为业界广泛采用的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值