ActiveMQ【CVE-2016-3088】上传公钥实现sssh免密登录
Apache-ActiveMQ是apache旗下的消息中间件,至今为止还是有较多的甲方爸爸们,还在使用该中间件。据了解,Apache-ActiveMQ中间件有2个厉害的CVE,一个是CVE-2016-3088,还有一个是CVE-2015-5254。本次文章内容,主要结合HW中遇到的CVE-2016-3088漏洞与ssh 公钥结合,拿下服务器的权限。
Apache-ActiveMQ漏洞介绍&环境
漏洞介绍
该漏洞为Apache消息中间件漏洞,URL访问地址为:http://x.x.x.x:8161------>默认开启的端口为8161,当你使用nmap进行全端口扫描受害机器时,发现8161端口时需要提高警惕性。
默认后台管理控制端,URL地址http://x.x.x.x:8161/admin
默认密码:admin/admin
漏洞环境
在centos7.5上安装docker并pull vulhub镜像,使用vulhub下的ActiveMQ环境。
漏洞原理
ActiveMQ的web控制台分为三个应用:admin、api和fileserver;前两个需要登陆权限;最后一个无需登录权限,及CVE2016-3008又称为任意文件写入,可以理解是未授权访问的一种。Fileserver是一个api接口,通过GET/PUT/DELETE等HTTP的OPTIONS方法对文件进行任意读、传、取等操作。
影响版本
Apache-ActiveMQ5.0.0-5.13.x;5.14.0版本后,彻底删除了fileserver应用
漏洞详情&利用方法
fileserver应用中,ActiveMQ中的file server服务允许用户通过HTTP PUT方法上传文件到指定目录,fileserver支持写入文件(但并不提供解析),支持http方法中的move方法【移动并覆盖】文件,可将jsp文件put到filserver中,在通过mv移动到可执行的目录下。
CVE-2016-3088为任意文件写入:故名思意,即使用PUT上传到受害机服务器的目录下,渗透测试的目的是为了获取更高的权限,在这里我们可以利用任意文件写入的这个漏洞,结合linux系统本身以及其他可利用的漏洞,打一套组合拳,将该漏洞的危害面积,提升到最大,从而提升攻击者的权限。
写入文件的组合拳【利用方式】,总结有如下三种:
1.写入webshell------>【该方法简单粗暴,有被管理员发现/被安全设备拦截的危险】
2.写入定时任务cron/上传攻击者ssh公钥【常用手法】等文件------->【该方法最大程度依赖了这个漏洞的PUT缺陷,简单并安全的将攻击者权限提升到最大】
3.写入jar/jetty.xml等库和配置文件
接下来,文章的复现阶段主要围绕利用方式的前2种进行实际操作以及遇到问题的实际解决办法
漏洞复现
利用方式1:上传webshell
总体思路:通过HTTP PUT方法上传小马.txt文本------>http 访问204(成功)------> move 小马.txt到api【/admin】/1.jsp即可访问该小马;具体操作如下
1.使用默认口令登录【admin/admin】,查看ActiveMQ的默认路径
http://x.x.x.x:8161/admin/test/systemProperties.jsp
2.上传小马,以txt文本格式上传,然后服务器返回204,表示上传成功,但该fileserver目录下,是没有解析执行的权限。
3.然后将小马1.txt移动到webapps/admin目录下,成功的话,返回204 No Content
MOVE /fileserver/1.txt HTTP/1.1 ------>移动fileserver目录下的1.txt文本
Destination: file:///opt/activemq/webapps/admin/1.jsp --------->移动到目的地址为file:///路径下的1.jsp文件中【即为将1.txt内容复制为1.jsp,并更换后缀名为可被服务器解析的脚本文件】
或者写入到api/1.jsp也可【这里可写入的地方较多】
此时,浏览器访问该小马,成功;
利用方式2:定时任务cron tab,自动化弹shell
1.上传cron配置文件【换行注意使用\n】
写入cron配置文件,地址为攻击机地址,端口随意,只要不占用其他正在使用的端口即可
2.移动到/etc/cron.d/root
**注意该方法写定时任务,反弹shell,ActiveMQ必须是以root方式运行的,不然失效。
利用方式3:上传SSH公钥,实现免密登录受害机
SSH免密登录,在电厂以及实际生产环境下的数据库之间交互数据时,经常使用;SSH默认也支持公钥免密登录的这种方式。
首先:说明一点不同的系统ssh支持的免密登录的参数可能不一致。本次实验分别在ubuntu16.04、centos7以及凝思系统上进行实际操作
ssh免密登录主要涉及到几点内容
ssh-keygen -t rsa ------>用来生成rsa的公私钥------>id_rsa.pub
/etc/ssh/sshd_config 或者 /ssh_config
用户目录/.ssh/authorized_keys ----->用来存放攻击者的公钥
1.kali上ssh-keygen -t rsa ----->生成id_rsa.pub
2.ssh localhost
在实际模拟环境操作中遇到ubuntu16.04、centos7以及凝思系统的当前用户目录下,本地sshd_conf文件内容为空或者无 /.ssh/known_hosts时,可以使用ssh localhost 这样即可出现文件;
其次,.ssh目录下还要存在authorized_keys,这个可以在move时创建并存放公钥
3.受害机的sshd_config要实现免密登录
RSAAuthentication yes
PubkeyAuthentication yes
StrictModes no ----->这个存在于centos的高版本中,默认这个是yes即为开启状态;在这种情况下必须关闭该参数
RSA和Pubkey这两个选项,我做了一系列的测试,发现RSAAuthentication yes/no 都不影响最后的免密登录,只有PubkeyAuthentication这个参数必须设置为YES,不然免密操作会失败
4.使用PUT方法将攻击者的id_rsa.pub上传至受害者fileserver;
再使用move移动到用户名/.ssh/authorized_keys ------>ps:这里主要是因为docker下部署的环境容器下,未安装ssh服务导致的。
于是在本地开启centos7/unbuntu16.04,按照第2、3两步进行配置,成功免密登录
漏洞修复&加固
1.主要就是升级到15.x版本后吧
总结:
1.在很多大型甲方公司,经常会使用SSH的免密登录,其次SSH配置文件中默认也开启了这个方式;这也是linux存在的安全风险点
2.渗透技术的难点:在于漏洞与漏洞之间的连环利用;这次利用PUT文件上传+MOVE操作成功SSH免密登录。
3.SSH免密主要核心点就是能上传公钥+PubkeyAuthentication 开启;至于其他博主上说 /.ssh要700 /.ssh/authorized_keys要600这个权限说法,个人感觉没啥用,用默认文件/文件夹的权限就可以了吧
参考文章链接:https://paper.seebug.org/346/
