ActiveMQ漏洞复现(不安全的http方法具体利用)

最新推荐文章于 2022-01-10 10:48:01 发布
最新推荐文章于 2022-01-10 10:48:01 发布
阅读量2.7k 收藏 1
点赞数
分类专栏: 笔记整理 文章标签: 漏洞复现 不安全的http方法的利用
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xg_ren/article/details/80776474
版权
本文详细介绍了如何复现ActiveMQ的不安全HTTP方法漏洞,包括环境搭建、漏洞利用步骤,如PUT和MOVE方法,导致文件路径泄露及文件移动到敏感目录。
摘要由CSDN通过智能技术生成
1、搭建ActiveMQ环境
  • 环境准备
jre安装及环境变量的配置:
https://blog.csdn.net/tiantang_1986/article/details/53894947
  • 下载有漏洞版本的ActiveMQ(我用的5.7.0)
 http://activemq.apache.org/download-archives.html
  • 解压后进入bin目录,发现有win32和win64两个文件夹,这2个文件夹分别对应windows32位和windows64位操作系统的启动脚本。
    这里写图片描述
    打开对应位数操作系统的启动文件
  • 启动成功后访问url:http://localhost:8161/admin<
最低0.47元/天 解锁文章
xg_ren
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
安全HTTP方法
谢公子的博客
05-03 3万+
我们常见的HTTP请求方法是GET、POST和HEAD。但是,其实除了这两个之外,HTTP还有一些其他的请求方法。 WebDAV (Web-based Distributed Authoring and Versioning) 一种基于 HTTP1.1协议的通信协议。它扩展了HTTP 1.1,在GET、POST、HEAD等几个HTTP标准方法以外添加了一些新的方法,使应用程序可对Web Ser...
【网络安全---漏洞复现】Tomcat CVE-2024-1938 漏洞复现利用过程(特详细)
最新发布
2401_83946826的博客
04-16 1378
python2 ‘Tomcat-ROOT路径下文件读取(CVE-2020-1938).py’ -p 8009 -f /WEB-INF/web.xml 192.168.31.160。
ActiveMQ的一个bug
dato0123
10-17 127
上午老板给了我一个小任务:解决他笔记本不连网的时候ActiveMQ无法启动的问题。我拔了网线后,启动ActiveMQ,报下面的错: &lt;!--&lt;br&gt;&lt;br&gt;Code highlighting produced by Actipro CodeHighlighter (freeware)&lt;br&gt;http://www.CodeHighlighter.com/...
activemq-bug
qq_32640013的博客
08-01 563
文章目录activemq-bugjavax.jms.IllegalStateException: Not a transacted session activemq-bug javax.jms.IllegalStateException: Not a transacted session 翻译:不是事务会话 原因:没有开启事务 解决:将一个形参改为 true ,表示开启事务。 session = ...
ActiveMQ漏洞总结
qq_42176207的博客
05-08 7594
ActiveMQ Apache ActiveMQ是美国阿帕奇(Apache)软件基金会所研发的一套开源的消息中间件,它支持Java消息服务、集群、Spring Framework等。随着中间件的启动,会打开两个端口,61616是工作端口,消息在这个端口进行传递;8161是Web管理页面端口。 Jetty 是一个开源的 servlet 容器,它为基于 Java 的 web 容器,例如 JSP 和 servlet 提供运行环境。ActiveMQ 5.0 及以后版本默认集成了jetty。在启动后提供一个监控 Ac
ActiveMQ:使用Python访问ActiveMQ方法
01-20
ActiveMQ支持Python访问,提供了基于STOMP协议(端口为61613)的库。 ActiveMQ的官文Cross Language Clients中给出了更详细的介绍,并附有示例代码,如下图: 第一行为常规Python访问,第二行为使用Jython访问的方式...
ActiveMQ反序列化漏洞(CVE-2015-5254) 漏洞利用工具
11-25
ActiveMQ反序列化漏洞(CVE-2015-5254)漏洞利用工具,说明文档已存在请进行查看
Linux环境ActiveMQ部署方法详解
01-10
本文实例讲述了Linux环境ActiveMQ部署方法。分享给大家供大家参考,具体如下: ActiveMQ环境部署 下载地址:http://activemq.apache.org/activemq-5143-release.html 下载apache-activemq-5.14.3-bin.tar.gz。 手册...
ActiveMQ 反序列化漏洞(CVE-2015-5254)利用工具
08-15
修复这个漏洞方法主要是更新到不受影响的ActiveMQ版本,或者应用官方发布的补丁。此外,配置ActiveMQ以限制接收的消息类型,或者启用反序列化过滤器也是有效的防御措施。在生产环境中,应定期进行安全审计和漏洞...
ActiveMQ安全机制使用及其源代码分析
01-30
最近在项目开发中,需要为ActiveMQ开发基于IP的验证和授权机制,因此,对ActiveMQ安全机制进行了了解,以下将介绍ActiveMQ安全机制使用及其源代码分析。操作系统:WindowsXPJava:jdk1.6.0_12maven:maven3.0.4...
tomcat下activemqhttp配置
03-21
NULL 博文链接:https://belinda407.iteye.com/blog/986652
ActiveMQ漏洞利用
打代码的小女孩
11-04 629
背景简述 ActiveMQ的web控制台分三个应用,admin、api和fileserver,其中admin是管理员页面,api是接口,fileserver是储存文件的接口;admin和api都需要登录后才能使用,fileserver无需登录。 fileserver是一个RESTful API接口,我们可以通过GET、PUT、DELETE等HTTP请求对其中存储的文件进行读写操作,其设计目的是为了...
ActiveMQ多线程压力测试BUG---消费者停止接收
u012939045的博客
11-03 586
ActiveMQ多线程压力测试BUG---消费者停止接收BUG产生复现BUG原因分析机器自身CPU的保护机制MQ自身的保护机制目前解决方法问题 BUG产生复现 在一台电脑上启动生产者、消费者、MQ。当启动32线程进行多发多收压力测试时, 此时CPU占用率会暴涨,达到99%-100%,启动一段时间,消费者线程会全部断开,并且无法重连(此时使用断线重连机制 failover )但是生产者依旧继续发送,但是其速度会由于得不到消费者的回执而慢慢降低,以至于消息积压。直至宕机。 BUG原因分析 目前暂时想到的原因有两
关于做activemq整合spring时候的异步操作的bug
Lnjcc
05-16 307
操作的时候遇到很多问题 1.一般框架我们测试代码肯定是是写在test里面,当我用了所有jar包后,然后 第一次报错是:java.lang.NoSuchMethodError: org.springframework.core.annotation.AnnotatedE 找了很多资料都有点缺陷,在保证不是jar少了的情况下 spring-test 最好用成 4.16版本的 
WEBSHELL姿势之不安全HTTP方法(渗透实验)
forbidd3n,keep going
10-25 4520
前言 Web服务器(以IIS为例)在没有任何设置是,使用OPTIONS命令,可以返回所有能够响应的HTTP方法,如OPTIONS, TRACE, GET, HEAD, COPY, PROPFIND, SEARCH, LOCK, UNLOCK。 实验要求 任务:获取目标机上的两个文件(key1.txt和key2.txt),在C盘的根目录下存储有两个敏感文件(key1.txt,key2.
activemq 使用http协议
Java 日常积累
01-06 901
activemq使用http协议时候,slf使用1.6.4 jar要报错。 java.lang.NoSuchMethodError: org.slf4j.helpers.MessageFormatter.arrayFormat(Ljava/lang/String;[Ljava/lang/Object;) Lorg/slf4j/helpers/FormattingTuple; ...
SeriveMix中的MQ不够安全
sz_lixu的博客
12-24 117
今天首次体验了一下ServiceMix3.2.2,但感觉默认设置时,MQ不够安全,因为所有的机器都可以访问该MQ; 于是我打算通过JAAS配置下MQ,如: 在login.properties加入 servicemix-domain { org.apache.servi...
[Vulhub] ActiveMQ漏洞
weixin_45605352的博客
01-10 3477
ActiveMQ 反序列化漏洞 (CVE-2015-5254) 0x00 漏洞描述 Apache ActiveMQ 是由美国 Pachitea(Apache)软件基金会开发的开源消息中间件,支持 Java 消息服务、集群、Spring 框架等。 Apache ActiveMQ 5.13.0 之前的 5.x 版本安全漏洞,该程序造成的漏洞不限制代理中可以序列化的类。远程攻击者可以制作一个特殊的序列化Java Message Service (JMS) ObjectMessage 对象,利用漏洞执行任意代码。
ActiveMQ 漏洞
10-12
关于 ActiveMQ 漏洞,我可以告诉你一些基本信息。ActiveMQ 是一种流行的开源消息代理,但是它也存在一些漏洞,例如: 1. CVE-2015-5254:ActiveMQ 可能允许未经身份验证的攻击者执行任意代码。 2. CVE-2016-3088:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值