产品界面
默认的账号密码都是 admin admin (这里先说一下后面会提到 只有登录后才可以往里面写shell)
登录后去访问这个固定的界面(这是一个产品自身情况检查的一个固定界面)
http://192.168.1.53:8161/admin/test/systemProperties.jsp
访问这个界面后我们可以看到该服务器的一些绝对路径(上传木马的时候会用到)
这里做个背景简述
ActiveMQ的web控制台分三个应用,admin、api和fileserver,其中admin是管理员页面,api是接口,fileserver是储存文件的接口;admin和api都需要登录后才能使用,fileserver无需登录。
fileserver是一个RESTful API接口,我们可以通过GET、PUT、DELETE等HTTP请求对其中存储的文件进行读写操作,其设计目的是为了弥补消息队列操作不能传输、存储二进制文件的缺陷,但后来发现:
-
其使用率并不高
-
文件操作容易出现漏洞
所以,ActiveMQ在5.12.x~5.13.x版本中,已经默认关闭了fileserver这个应用(你可以在conf/jetty.xml中开启之);在5.14.0版本以后,彻底删除了fileserver应用。
在测试过程中,可以关注ActiveMQ的版本,避免走弯路。
现在为止拿到绝对路径后就可以上传shell了。
用burp吧请求包代理下来然后改包
上传之后通过move方法移动并改名文件
到这里木马就已经上传上去了,只需要通过冰蝎管理器连接即可
这里面有个地方比较有限制,利用该漏洞的话必需得有登录的凭证,一般情况下可尝试暴力破解,或者社工钓鱼。