有关ActiveMQ文件上传初探

上午看到activemq未授权访问也能拿shell？
http://zone.wooyun.org/content/26784

其中还有个bugscan的任意文件上传的截图，也不知道人家大牛是如何实现的；

本人菜鸟一枚，抱着侥幸的心理，百度谷歌了一下；
发现了一个CVE-2015-1830：
Apache ActiveMQ for Windows 5.11.2之前版本，fileserver中用于blob消息的upload/download功能存在目录遍历漏洞，可使攻击者利用此漏洞在任意目录中创建JSP文件，执行shell命令。此漏洞仅影响Windows OS系统。
对ActiveMQ没有一点认识，本地搞一个环境看看。
通过检索发现
ActiveMQ自带了fileserver（jetty），支持PUT/GET/DELETE方法。
访问fileserver

那就put一下试试：

文件put成功

虽然put一个jsp webshell文件是没有问题的，但是fileserver并不支持jsp文件的解析；
参 考CVE-2015-1830 的 此漏洞仅影响Windows OS系统。
于是尝试目录穿越，且是要一个不存在的目录；
比如

这样的格式linux环境是不行的；
构造如下格式
http://localhost:8161/fileserver/sex../..\..\admin/test.jsp

访问

看着和截图很相似吧。
其他

附注：
linux环境也是可以put文件的，但是不能getshell，delete可没有尝试；
比如本地直接delete


fileserver目录被删除的毛都没有了。
本地测试环境是apache-activemq-5.8.0，不清楚其他版本和环境是否结果一致。
如果有不准确的地方，请各位直接指正，本人不仅菜，而且还脸皮厚……

收藏 感谢(0)

分享到： 0

2 个回复

1. 
   1# 1c3z (你不是一个人在战斗) | 2016-04-25 16:18

   可以可以。。

2. 
   2# 纷纭 (:-)) | 2016-04-25 16:46

   666666 ~~~

3. 
   _Evil () | 2016-04-25 16:48

   6666666666666