ActiveMQ 任意文件写入漏洞(CVE-2016-3088)

标题:ActiveMQ 任意文件写入漏洞(CVE-2016-3088)
日期:2018年08月11日
介绍:

使用 docker 复现该漏洞

/Users/v/Downloads/vulhub-master/activemq/CVE-2016-3088


0x01、 基本信息

使用 docker 搭建环境

vulhub/activemq at master · vulhub/vulhub · GitHub

环境会监听 61616 端口和 8161端口,8161端口是控制台。

搭建好以后,本机访问 http://192.168.0.106:8161 即可。

ActiveMQ 的控制台分为三个应用:

  1. admin
  2. api
  3. fileserver

其中1和2需要登录,3不需要登录,fileserver 是一个RESTful API的接口,可以使用 PUT、MOVE 等方法操作文件。

版本相关:

5.12.X —— 5.13.X 版本中,默认关闭了 fileserver
5.14.0 以后的版本,删除了 fileserver

0x02、漏洞相关

2.1 漏洞原因

漏洞成因是 fileserver ,可以使用 PUT、MOVE 等方法对文件进行操作,主要可以搞的方法有以下几点:

  1. 直接写 shell。
  2. 写 cron 定时任务拿 shell,或者写ssh key 文件
  3. 写 jar 或 jetty.xml 等库和配置文件
2.2 直接写 shell

写 shell 的话,需要写在 admin 或者 api 中,也就是需要登录,没有密码的话完成不了写 shell 操作。

该环境默认的口令为 admin/admin

访问 http://127.0.0.1:8161/admin/test/systemProperties.jsp

获得当前系统的路径

上传 jsp 小马,返回204,但是在 fileserver 路径下不解析

然后移动到 api 目录下,成功的话,返回 204 No Content

成功执行 webshell

2.3 利用 cron 定时任务写 shell

先上传到 fileserver,不需要登录即可。

然后移动到 /etc/cron.d/root

保证靶机的定时任务服务正在运行

/etc/init.d/cron status

本机监听 9999 端口,一会就反弹 shell 了。

原文地址:https://www.cnblogs.com/v1vvwv/p/CVE-2016-3088.html

时间: 2024-10-08 01:14:49

ActiveMQ 任意文件写入漏洞(CVE-2016-3088)的相关文章

漏洞复现 - ActiveMQ任意文件写入漏洞(CVE-2016-3088)

漏洞原理 fileserver是Apache ActiveM提供的一个RESTful API接口,可通过GET.PUT.DELETE等HTTP请求对文件进行读写操作,设计目的是为了弥补消息队列操作不能传输.存储二进制文件的缺陷,在文件操作过程中出现了任意文件读写漏洞. 影响版本 5.12.x之前的版本. 复现环境 将ActiveMQ部署在MAC上,使用版本为apache-activemq-5.11.1,JDK版本为1.7 复现过程 启动ActiveMQ,并尝试上传jsp木马,返回401,上传时失

致远A8任意文件写入漏洞_getshell_exp

近期爆出致远 OA 系统的一些版本存在任意文件写入漏洞,远程攻击者在无需登录的情况下可通过向 URL /seeyon/htmlofficeservlet POST 精心构造的数据即可向目标服务器写入任意文件,写入成功后可执行任意系统命令进而控制目标服务器. 目前已知易受攻击的版本: 致远A8-V5协同管理软件 V6.1sp1 致远A8+协同管理软件 V7.0.V7.0sp1.V7.0sp2.V7.0sp3 致远A8+协同管理软件 V7.1 如果成功利用此漏洞的攻击者可以在目标系统上写入任意文件,

phpmyadmin任意文件包含漏洞分析(含演示)

0x01 漏洞描述 phpmyadmin是一款应用非常广泛的mysql数据库管理软件,基于PHP开发. 最新的CVE-2014-8959公告中,提到该程序多个版本存在任意文件包含漏洞,影响版本如下: phpMyAdmin 4.0.1 – 4.0.10.6 4.1.1 – 4.1.14.7 4.2.1 – 4.2.12 0x02 补丁分析 看到bobao.360.cn上提到了这个漏洞,于是我写个小分析吧,给渗透正没思路的人一个思路,也给学习代码审计的朋友一点资料. 前几天phpmyadmin出了个

TEC-004-php文件下载任意文件读取漏洞修复

修改download?u参数值,将/public/files/14842030529.txt,替换为../../../../../../../../../../etc/passwd    function download() {        $u =$_GET['u'];        // 描述: 任意文件读取漏洞修复  date: 2017年4月28日 下午4:13:39  bylwy        $lenth=strrpos($u,'.');        $string = sub

Discuz!X 3.4 任意文件删除漏洞复现过程(附python脚本)

今天看下群里在讨论Discuz!X 3.4 任意文件删除漏洞,自己做了一些测试,记录一下过程.结尾附上自己编写的python脚本,自动化实现任意文件删除. 具体漏洞,请查看 https://paper.seebug.org/411/ 0x01 环境搭建 到官网下载Discuz 3.4版本,phpstudy 本机搭建,并注册账号.站点根目录新建111.txt,作为删除的目标文件. Discuz 3.4下载链接:http://www.discuz.net/thread-3825961-1-1.htm

PHPMailer命令执行及任意文件读取漏洞

今天在thinkphp官网闲逛,无意下载了一套eduaskcms,查看了一下libs目录中居然存在PHPMailer-5.2.13,想起了之前看到的PHPMailer的漏洞,可惜这套CMS只提供了一个邮箱接口,前台页面需要单独自己写,没办法用这套CMS进行复现,这边也顺便利用这个PHPMailer-5.2.13对CVE-2016-10033和CVE-2017-5223进行本地复现,记录一下. PHPMailer 命令执行漏洞(CVE-2016-10033) 漏洞编号:CVE-2016-10033

【代码审计】两个任意文件读取漏洞实例

0x00 前言 0x01 漏洞实例一 环境搭建: XYHCMS官网:http://www.xyhcms.com/ 网站源码版本:XYHCMS V3.5(2017-12-04 更新) 程序源码下载:https://pan.baidu.com/s/13q_ITM0pPTGlkaNv8uq2Iw 代码分析: 1.漏洞文件位置:/App/Manage/Controller/TempletsController.class.php 第59-83行: public function edit() { $ft

Discuz!X 3.4 前台任意文件删除漏洞复现

Discuz!X 3.4 前台任意文件删除漏洞复现 参考链接: http://www.freebuf.com/vuls/149904.html http://www.freebuf.com/articles/system/149810.html http://mp.weixin.qq.com/s?srcid=0930uM1OtfeAsXwHRrfZBIyo&scene=23&mid=2650942631&sn=12a3c55807768f12fcd1b306fdf775d8&

【代码审计】CLTPHP_v5.5.3后台任意文件删除漏洞分析

  0x00 环境准备 CLTPHP官网:http://www.cltphp.com 网站源码版本:CLTPHP内容管理系统5.5.3版本 程序源码下载:https://gitee.com/chichu/cltphp 默认后台地址: http://127.0.0.1/admin/login/index.html 默认账号密码: 后台登录名:admin  密码:admin123 测试网站首页: 0x01 代码分析 1./app/admin/controller/Database.php  第221