ActiveMQ 后台拿shell CVE-2016-3088 (价值3500刀) -- 2016-07-04 17:07

时间  2020-08-05 标签 activemq 后台 shell cve 价值 3500刀

先爆路径 
acitvemq1.png
而后put文件 
2.png 

move 文件,这里不是标准的move协议,用file伪协议 

3.png 

最后getshell 
4.png 

附上后台处理move的关键代码 
protected void doMove(HttpServletRequest request, HttpServletResponse response) 
    throws ServletException, IOException 
  { 
    if (LOG.isDebugEnabled()) { 
      LOG.debug("RESTful file access: MOVE request for " + request.getRequestURI()); 
    } 
    if ((this.writePermissionRole != null) && (!request.isUserInRole(this.writePermissionRole))) 
    { 
      response.sendError(403); 
      return; 
    } 
    File file = locateFile(request); 
    String destination = request.getHeader("Destination"); 
    if (destination == null) 
    { 
      response.sendError(400, "Destination header not found"); 
      return; 
    } 
    try 
    { 
      URL destinationUrl = new URL(destination); 
      IOHelper.copyFile(file, new File(destinationUrl.getFile())); 
      IOHelper.deleteFile(file); 
    } 
    catch (IOException e) 
    { 
      response.sendError(500); 
       
      return; 
    }
这个洞好值钱 
http://0day.today/exploit/description/25370 
影响版本Apache ActiveMQ 5.0.0 - 5.13.2 
测试环境apache-activemq-5.8.0 debian 8 x64shell

感谢(0)
分享到: 0
18 个回复
  1. 1# ian   |  2016-07-04 17:15

    楼主给力,前排火速留名apache

  2. 2# menmen519   |  2016-07-04 17:21

    一直被跟随,从未被超越服务器

  3. 3# YY-2012 (#)<alert("dandan")>(#)   |  2016-07-04 17:23

    @menmen519 大牛好学习

  4. 4# 独孤小白兔   |  2016-07-04 17:45

    学习了~mark测试

  5. 5# Forever80s (~~~~~~~~)   |  2016-07-04 17:51

    @menmen519  http://zone.wooyun.org/user/ @YY-2012大牛好  是一直被追尾,从未被超车,爽翻了不网站

  6. 6# Qiudays   |  2016-07-04 17:52

    膜拜大牛中this

  7. 7# mrjerry   |  2016-07-04 17:53

    又有一批站要沦陷了spa

  8. 8# 末影人   |  2016-07-04 17:57

    http://zone.wooyun.org/content/27737debug

  9. 9# cf_hb (10000定律<=>实践ing)   |  2016-07-04 18:58

    一直被跟随,从未被超越code

  10. 10# 1c3z (你不是一我的在战斗)   |  2016-07-04 19:38

    不知道管理员用户名密码怎么拿shell呢?

  11. 11# Cyrils (')(')   |  2016-07-05 00:31

    WooYun: 科大讯飞ActiveMQ管理弱口令可致使命令执行   ..

  12. 12# menmen519   |  2016-07-05 08:32

    @Forever80s @YY-2012 YY牛已经刷疯了,高产

  13. 13# 刺刺   |  2016-07-05 08:46

    懂代码就是厉害啊,这样操做poc就简单了不少。

  14. 14# 打电话叫人 (没事,打电话叫人)   |  2016-07-05 09:16

    厉害

  15. 15# 猪猪侠  (每次有人骂我是猪我都说本身是猪猪侠)   |  2016-07-05 09:21

    又出现了传说中的状况:
    研究这个漏洞的人太多,ActiveMQ在互联网上开放的服务器明显不够用。

  16. 16# 刺刺   |  2016-07-05 10:24

    须要在csdn 51cto iteye等技术类网站写一些ActiveMQ的安装配置文档,文章要描述如何把fileserver的注释去掉,最后也要建议把必定要把8161端口对外哟!

  17. 17# 爱捣蛋的鬼   |  2016-07-05 10:27

    膜拜

  18. 18# 爱捣蛋的鬼   |  2016-07-05 10:38

    直接写到passwd, 直接拿下了

  19. _Evil ()   |  2016-07-05 15:18

    第一个是fuzz出来的吗?

添加新回复

联系我们 沪ICP备13005482号-10