2024年网安最全activemq专栏之jmx代理不安全？(2)

[root@iZ1adui04qZ webapps]# netstat -anp|grep 1099

tcp 0 0 0.0.0.0:1099 0.0.0.0:* LISTEN 5325/java

[root@iZ1adui04qZ webapps]# ps -ef|grep java

root 601 32282 0 16:48 pts/1 00:00:00 grep java

root 5325 5323 1 Jul14 ? 00:46:03 /usr/java/jdk/bin/java -Djava.util.logging.config.file=/app/usr/local/tomcat7-sec/conf/logging.properties -Djava.util.logging.manager=org.apache.juli.ClassLoaderLogManager -Xms1024m -Xmx4096m -Xss1024K -XX:PermSize=512m -XX:MaxPermSize=2048m -Djava.endorsed.dirs=/app/usr/local/tomcat7-sec/endorsed -classpath /app/usr/local/tomcat7-sec/bin/bootstrap.jar:/app/usr/local/tomcat7-sec/bin/tomcat-juli.jar -Dcatalina.base=/app/usr/local/tomcat7-sec -Dcatalina.home=/app/usr/local/tomcat7-sec -Djava.io.tmpdir=/app/usr/local/tomcat7-sec/temp org.apache.catalina.startup.Bootstrap start

2、查找对应的配置项

查找该进程中配置有1099端口的文件

[root@iZ1adui04qZ webapps]# grep -rl “1099” ./

./activemq-web-console-5.14.3/WEB-INF/classes/org/apache/activemq/web/config/OsgiConfiguration.class

./activemq-web-console-5.14.3/META-INF/maven/org.apache.activemq/activemq-web-console/pom.xml

至此，1099端口占用的位置就清楚了，是一个旧版本的activeMq的console是启用的。

接下来我们看看这两个文件里究竟有什么东东，以及这两个文件的功能分别是什么？

OsgiConfiguration.class

package org.apache.activemq.web.config;

import java.util.Collection;

import java.util.Dictionary;

import java.util.Hashtable;

import javax.jms.ConnectionFactory;

import javax.management.remote.JMXServiceURL;

import org.osgi.framework.Bundle;

import org.osgi.framework.BundleContext;

import org.osgi.framework.FrameworkUtil;

import org.osgi.framework.ServiceRegistration;

import org.osgi.service.cm.ConfigurationException;

import org.osgi.service.cm.ManagedService;

public class OsgiConfiguration

extends AbstractConfiguration

implements ManagedService

{

private ServiceRegistration service;

private String jmxUrl = “service:jmx:rmi:///jndi/rmi://localhost:1099/karaf-root”;

private String jmxUser = “karaf”;

private String jmxPassword = “karaf”;

private String jmsUrl = “tcp://localhost:61616”;

private String jmsUser = “karaf”;

private String jmsPassword = “karaf”;

public OsgiConfiguration()

{

BundleContext context = FrameworkUtil.getBundle(getClass()).getBundleContext();

Dictionary<String, String> properties = new Hashtable();

properties.put(“service.pid”, “org.apache.activemq.webconsole”);

this.service = context.registerService(ManagedService.class.getName(), this, properties);

}

public String getJmxPassword()

{

return this.jmxPassword;

}

public Collection getJmxUrls()

{

return makeJmxUrls(this.jmxUrl);

}

public String getJmxUser()

{

return this.jmxUser;

}

public ConnectionFactory getConnectionFactory()

{

return makeConnectionFactory(this.jmsUrl, this.jmsUser, this.jmsPassword);

}

public void updated(Dictionary dictionary)

throws ConfigurationException

{

if (dictionary != null)

{

this.jmxUrl = ((String)dictionary.get(“webconsole.jmx.url”));

if (this.jmxUrl == null) {

throw new IllegalArgumentException(“A JMS-url must be specified (system property webconsole.jmx.url”);

}

this.jmxUser = ((String)dictionary.get(“webconsole.jmx.user”));

this.jmxPassword = ((String)dictionary.get(“webconsole.jmx.password”));

this.jmsUrl = ((String)dictionary.get(“webconsole.jms.url”));

this.jmsUser = ((String)dictionary.get(“webconsole.jms.user”));

this.jmsPassword = ((String)dictionary.get(“webconsole.jms.password”));

}

}

}

以下内容出现在META-INF/maven/org.apache.activemq/activemq-web-console/pom.xml中，应该是编译时的默认配置信息：

还有兄弟不知道网络安全面试可以提前刷题吗？费时一周整理的160+网络安全面试题，金九银十，做网络安全面试里的显眼包！

王岚嵚工程师面试题（附答案），只能帮兄弟们到这儿了！如果你能答对70%，找一个安全工作，问题不大。

对于有1-3年工作经验，想要跳槽的朋友来说，也是很好的温习资料！

【完整版领取方式在文末！！】

93道网络安全面试题

内容实在太多，不一一截图了

黑客学习资源推荐

最后给大家分享一份全套的网络安全学习资料，给那些想学习 网络安全的小伙伴们一点帮助！

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

😝朋友们如果有需要的话，可以联系领取~

1️⃣零基础入门

① 学习路线

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

② 路线对应学习视频

同时每个成长路线对应的板块都有配套的视频提供：

2️⃣视频配套工具&国内外网安书籍、文档

① 工具

② 视频

③ 书籍

资源较为敏感，未展示全面，需要的最下面获取

② 简历模板

因篇幅有限，资料较为敏感仅展示部分资料，添加上方即可获取👆

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化资料的朋友，可以点击这里获取

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！