ActiveMQ任意文件写入漏洞

博主： alexsel
发布时间：2020 年 06 月 16 日
1384 次浏览
暂无评论
1221字数
分类：网络安全

ActiveMQ任意文件写入漏洞（CVE-2016-3088）

一、漏洞描述

这个漏洞出现在fileserver应用中，fileserver是一个RESTful API的接口，我们可以通过GET、PUT、DELETE等HTTP请求对其存储的文件进行读写操作，由于其使用率和容易出现漏洞的原因，所以在ActiveMQ5.12.x-5.13.x版本中默认关闭了fileserver。
这个漏洞利用的原理是fileserver支持文件写入（不解析jsp）以及支持文件的移动，所以我们漏洞利用的过程就是上传文件然后将文件移动到指定位置。
可以使用的方法：

写入webshll
写入cron或ssh key文件
写入jar或jetty.xml等库和配置文件

二、漏洞环境

这里的环境使用的是Vulhub的Docker环境，我们直接在搭建好的环境中，进入漏洞的目录下使用docker-compose up -d即可启动环境。

三、漏洞复现

写入webshell

使用这种方式来完成漏洞的利用需要我们登录之后才能访问，这里我们为了完成漏洞的利用，假定我们是已经获取登录状态，在我们的环境里默认的账户密码均为admin。
1.我们首先访问http://192.168.252.170:8161/admin/test/systemProperties.jsp，在这里我们可以看到ActiveMQ的绝对路径：

2.接着我们就上传shell文件

3.上传完成之后，我们可以I在浏览器中访问我们的webshell，现在还是txt格式，我们可以看到其内容：

4.上传完成之后，我们通过已经知道的物理路径来移动我们的webshell，将其移动到/opt/activemq/webapps/api/s.jsp中：

5.接着我们访问相应位置的链接即可http://192.168.252.170:8161/api/3.jsp：

最后修改：2020 年 08 月 26 日

© 允许规范转载

如果觉得我的文章对你有用，请随意赞赏

发表评论取消回复
使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款

评论 *

私密评论

名称 *

🎲

邮箱 *

地址

PHP_Session反序列化漏洞
浏览次数: 5919
10种方法绕过云锁以及tamper
浏览次数: 5729
红队实验七
浏览次数: 3280
Bypass-云锁绕过
浏览次数: 3206
Linux提权总结
浏览次数: 2750

111
师傅好文章，图片坏了好多
Ulysses
不过最新版的云锁已经不能用这种方法绕过了⌇●﹏●⌇
Ulysses
真榜！学到了ヾ(≧∇≦*)ゝ
未尽
感谢师傅提供的思路，能否给个收款码，请师傅喝杯咖啡。

红队实验一
浏览次数: 1044
反调试技术
浏览次数: 1255
PE结构二
浏览次数: 1257
rsync未授权访问
浏览次数: 1553
Bypass-安全狗绕过
浏览次数: 1641

ActiveMQ任意文件写入漏洞

alexsel • 2020 年 06 月 16 日

<h2>ActiveMQ任意文件写入漏洞（CVE-2016-3088）</h2><h3>一、漏洞描述</h3><p>    这个漏洞出现在fileserver应用中，fileserver是一个RESTful API的接口，我们可以通过GET、PUT、DELETE等HTTP请求对其存储的文件进行读写操作，由于其使用率和容易出现漏洞的原因，所以在ActiveMQ5.12.x-5.13.x版本中默认关闭了fileserver。<br>    这个漏洞利用的原理是fileserver支持文件写入（不解析jsp）以及支持文件的移动，所以我们漏洞利用的过程就是上传文件然后将文件移动到指定位置。<br>可以使用的方法：</p><ul><li>写入webshll</li><li>写入cron或ssh key文件</li><li>写入jar或jetty.xml等库和配置文件</li></ul><h3>二、漏洞环境</h3><p>这里的环境使用的是Vulhub的Docker环境，我们直接在搭建好的环境中，进入漏洞的目录下使用<code>docker-compose up -d</code>即可启动环境。</p><h3>三、漏洞复现</h3><h4>写入webshell</h4><p>使用这种方式来完成漏洞的利用需要我们登录之后才能访问，这里我们为了完成漏洞的利用，假定我们是已经获取登录状态，在我们的环境里默认的账户密码均为admin。<br>1.我们首先访问<code>http://192.168.252.170:8161/admin/test/systemProperties.jsp</code>，在这里我们可以看到ActiveMQ的绝对路径：<br><img src="https://www.helloimg.com/images/2020/08/26/11e2999732fb828ae.png" alt="" title="" style=""><br>2.接着我们就上传shell文件<br><img src="https://www.helloimg.com/images/2020/08/26/292f89bc4b8c44a7c.png" alt="" title="" style=""><br>3.上传完成之后，我们可以I在浏览器中访问我们的webshell，现在还是txt格式，我们可以看到其内容：<br><img src="https://www.helloimg.com/images/2020/08/26/32d8fe3b1e14ead07.png" alt="" title="" style=""><br>4.上传完成之后，我们通过已经知道的物理路径来移动我们的webshell，将其移动到<code>/opt/activemq/webapps/api/s.jsp</code>中：<br><img src="https://www.helloimg.com/images/2020/08/26/4e209470f81e409a9.png" alt="" title="" style=""><br>5.接着我们访问相应位置的链接即可<code>http://192.168.252.170:8161/api/3.jsp</code>：<br><img src="https://www.helloimg.com/images/2020/08/26/5afd3f34a585a5203.png" alt="" title="" style=""></p>