ActiveMQ 中的 FileServer 服務允許用戶通過 HTTP PUT 方法上傳文件到指定目錄所以抓包偽造一個fileserver路徑即可。
發現可以爆出絕對路徑。
兩種利用姿勢:
一、上傳Webshell方式
先PUT一個構造的JSP的Webshell 2.jsp到fileserver/2.jsp
查看上傳成功
嘗試執行命令:發現無執行權限:
填寫一個錯誤目錄爆出絕對路徑:
然后利用 MOVE 方法將 Webshell 移入 admin/ 目錄(也可以利用相對路徑):
訪問IP/admin/2.jsp?cmd=ls
二、上傳SSH公鑰
既然可以任意文件上傳和移動,很自然的可以想到上傳我們的 ssh 公鑰,從而實現 SSH 方式登錄。
首先生成密鑰對。(如果已存在則不需要)
ssh-keygen -t rsa
復制內容上傳到fileserver
移動到/root/.ssh/並重命名為authorized_keys
ssh登錄完成