2. 程式人生 > 其它 >Apache ActiveMQ 管理員控制檯未授權訪問(開啟身份驗證並修改管理使用者名稱和密碼)

Apache ActiveMQ 管理員控制檯未授權訪問(開啟身份驗證並修改管理使用者名稱和密碼)

阿新 發佈:2021-01-29

技術標籤:activemq

  • 漏洞概述:
      Apache ActiveMQ是美國阿帕奇(Apache)軟體基金會所研發的一套開源的訊息中介軟體,它支援Java訊息服務、叢集、Spring Framework等。
      Apache ActiveMQ管理控制檯的預設管理使用者名稱和密碼分別為admin和admin,使用者可以未經授權使用預設憑據直接訪問伺服器,導致敏感資訊洩露,並進一步進行攻擊。
  • 修復方法
    1、編輯 ${ACTIVEMQ_HOME}/conf/jetty.xml開啟身份驗證,將authenticate屬性改為true:
<property name="authenticate" value="true" />

在這裡插入圖片描述
2、編輯檔案conf/jetty-realm.properties來更改Apache ActiveMQ的預設管理使用者名稱和密碼,格式如下:
在這裡插入圖片描述

相關推薦

Apache ActiveMQ 管理員控制檯授權訪問開啟身份驗證修改管理使用者名稱密碼

技術標籤:activemq 漏洞概述:   Apache ActiveMQ是美國阿帕奇(Apache)軟體基金會所研發的一套開源的訊息中介軟體,它支援Java訊息服務、叢集、Spring Framework等。   Apache ActiveMQ管理控制檯的預設管

vulfocus redis 授權訪問 CNVD-2015-07557

一、簡介1.Redis是一套開源的使用ANSI C編寫、支援網路、可基於記憶體亦可持久化的日誌型、鍵值儲存資料庫,提供多種語言的API。

Redis授權訪問漏洞Windows系統

找msf的rb指令碼目錄,再拷貝下載的rb指令碼到msf指令碼目錄 進入msf後重新載入下

解決InfluxDB 授權訪問

技術標籤:監控運維資料庫 InfluxDB是一個由InfluxData開發的開源時序型資料庫。它由Go寫成,著力於高效能地查詢與儲存時序型資料。InfluxDB被廣泛應用於儲存系統的監控資料,IoT行業的實時資料等場景。

Redis授權訪問配合SSH key檔案利用詳解

前言 Redis是一個開源的使用ANSI C語言編寫、支援網路、可基於記憶體亦可持久化的日誌型、Key-Value資料庫,提供多種語言的API。

Redis 4.x/5.x 授權訪問漏洞

0x01 Redis是什麼? Redis是資料庫,一個高效能的key-value儲存系統,是使用ANSI C語言編寫的。

Redis授權訪問

Redis redis是一個key-value儲存系統, 是一個高效能的key-value資料庫 ,預設使用 6379 埠

Redis授權訪問漏洞分析

Redis因配置不當授權訪問。導致無需認證就可以訪問到內部資料,可導致敏感資訊洩露,也可以通過config 命令,可以進行寫檔案操作。

redis授權訪問簡單總結

redis環境搭建 下載有漏洞的redis版本 wget http://download.redis.io/releases/redis-3.2.11.tar.gz

Redis授權訪問利用

Redis介紹 Redis是一個開源的使用ANSI C語言編寫、支援網路、可基於記憶體亦可持久化的日誌型、 Key-Value資料庫。Memcached類似,它支援儲存的value 型別相對更多,包括 string(字串)、list ( 連結串列)、 set(集

常見授權訪問漏洞總結

原創公眾號:Bypass 本文詳細地介紹了常見授權訪問漏洞及其利用,具體漏洞列表如下:

jenkins授權訪問漏洞復現

0x00 漏洞描述 授權訪問管理控制檯,可以通過指令碼命令列執行系統命令。通過該漏洞,可以後臺管理服務,通過指令碼命令列功能執行系統命令,如反彈shell,wget寫webshell檔案。

Zookeeper的授權訪問漏洞解決

這裡用的是使用者名稱密碼的方式,需用別的方式請參考下面地址附大佬連結:有三種解決方法https://www.cnblogs.com/ilovena/p/9484522.html首先介紹下znode的5種操作許可權:

JBOSS授權訪問漏洞復現

目錄1.JBOSS是什麼2.JBOSS授權訪問是什麼3.漏洞環境搭建4.漏洞復現進入控制檯進入應用部署頁面上馬5.jexboss工具安裝方法:

Elasticsearch授權訪問漏洞

漏洞描述 Elasticsearch是一款java編寫的企業級搜尋服務。越來越多的公司使用ELK作為日誌分析,啟動此服務預設會開放9200埠或者9300埠,可被非法操作資料

【Vulhub】Rsync授權訪問漏洞復現

Rsync未授權訪問 Rsync簡介 rsync,remotesynchronize顧名思意就知道它是一款實現遠端同步功能的軟體,它在同步檔案的同時,可以保持原來檔案的許可權、時間、軟硬連結等附加資訊。rsync是用 “rsync 演算法”提供了

Redis授權訪問+批量自動getshell指令碼

Redis授權訪問+批量自動getshell指令碼 漏洞產生條件 redis繫結在 0.0.0.0:6379,且沒有對登入IP做限制,直接暴露在公網。

JBOSS授權訪問

JBOSS主頁 # URL後新增 jmx-console/進入控制檯,然後進入deployment # jar cvf back.war shell.jsp 將木馬打成war包,然後放在公網伺服器上,在箭頭指向的地方填入war包地址

Docker環境復現利用Redis授權訪問漏洞 >> 批量掃描檢測利用

關於Redis RedisRemote Dictionary Server ),即遠端字典服務,是一個開源的使用ANSI C語言編寫、支援網路、可基於記憶體亦可持久化的日誌型、Key-Value資料庫,提供多種語言的API。從2010年3月15日起,Redis的

jenkins授權訪問/弱口令漏洞

昨天晚上面試官問到了,還沒來得及看,今天又問到了,猝不及防,藍瘦,香菇、、、