ActiveMQ 任意文件上传漏洞分析及修复
本文介绍了ActiveMQ的消息队列功能及其在高并发环境中的作用。重点讨论了ActiveMQ的一个安全问题——任意文件上传漏洞,包括PUT方法上传、获取绝对路径的两种方法。还提到了漏洞影响的版本范围(Apache ActiveMQ 5.x ~ 5.14.0)以及两种修复措施,如升级到5.14.0以上版本和禁用Fileserver功能。最后提醒利用此漏洞可能实现命令执行,建议及时修补。
ActiveMQ是什么?
是消息队列的容器,专注于高并发的环境,比如天猫淘宝一秒钟上亿请求,就好比是水池,把大量短时间无法处理的数据,冗余囤积到ActiveMQ里,再分门别类,按类专门处理,从而提高处理效率。
介绍:
登录admin账号:默认账号admin/admin,抓包进行修改,使用PUT方法上传文件。
ActiveMQ Web控制台分为三个应用程序:其中admin,api和fileserver,其中admin是管理员页面,api是界面,fileserver是用于存储文件的界面;admin和api需要先登录才能使用,fileserver不需要登录。
1 PUT上传
PUT /fileserver/3.jsp HTTP/1.1
Host: xxxxxxxxxxx:30004
Authorization: Ba
最低0.47元/天 解锁文章
扫一扫
818
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
