Apache ActiveMQ RCE

已于 2023-11-16 16:56:18 修改
阅读量109 收藏
点赞数
文章标签: android
于 2023-11-16 16:13:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zkaqlaoniao/article/details/134444375
版权

影响版本

Apache ActiveMQ < 5.18.3

利用条件

需要访问到61616端口(默认)。

漏洞分析

这里需要的是Apache ActiveMQ < 5.18.3,我这里直接下的5.18.2

https://github.com/apache/activemq/commit/958330df26cf3d5cdb63905dc2c6882e98781d8f

图片

在新版本中添加了一个OpenWireUtil.validateIsThrowable(clazz);在5.18.2中的代码如下

图片

把5.18.3的代码下下来,看看validateIsThrowable方法,代码如下

package org.apache.activemq.openwire;

public class OpenWireUtil {

    /**
     * Verify that the provided class extends {@link Throwable} and throw an
     * {@link IllegalArgumentException} if it does not.
     *
     * @param clazz
     */
    public static void validateIsThrowable(Class<?> clazz) {
        if (!Throwable.class.isAssignableFrom(clazz)) {
            throw new IllegalArgumentException("Class " + clazz + " is not assignable to Throwable");
        }
    }
}

这里如果传进来的clazz不是继承自Throwable类,就会抛出异常。在上面是通过反射获取一个类,然后调用对应的构造方法。在5.18.3在中对这个反射获取到的类进行了过滤。 现在就需要找到一个可以命令执行的类去反射获取。这里是用的BaseDataStreamMarshaller的classloader。

找到BaseDataStreamMarshaller的子类ExceptionResponseMarshaller,在其中的tightUnmarshal方法中调用了tightUnmarsalThrowable,具体代码如下

public void tightUnmarshal(OpenWireFormat wireFormat, Object o, DataInput dataIn, BooleanStream bs) throws IOException {
    super.tightUnmarshal(wireFormat, o, dataIn, bs);
    ExceptionResponse info = (ExceptionResponse)o;
    info.setException((java.lang.Throwable) tightUnmarsalThrowable(wireFormat, dataIn, bs));
}

tightUnmarsalThrowable具体代码如下

图片

在其中说到了上文当中的createThrowable,可以反射获取一个类并且调用对应的含一个string参数的构造方法,其中ExceptionResponseMarshaller类是对ExceptionResponse进行序列化操作的类

来看tightUnmarsalThrowable的主要逻辑

图片

从BooleanStream读入一个Boolean的数据,分别调用tightUnmarshalString去获取clazz和message,应该是把类名和message从clazz从二进制流中读取出来,然后作为参数调用createThrowable方法,tightUnmarsalThrowable方法最后返回了一个o,根据如下代码,这个o应该是ExceptionResponse的Exception属性

public void tightUnmarshal(OpenWireFormat wireFormat, Object o, DataInput dataIn, BooleanStream bs) throws IOException {
    super.tightUnmarshal(wireFormat, o, dataIn, bs);

    ExceptionResponse info = (ExceptionResponse)o;
    info.setException((java.lang.Throwable) tightUnmarsalThrowable(wireFormat, dataIn, bs));

}

我们这只要构造一个ExceptionResponse包含恶意的类名和message发送给服务器,服务器接受到并且反序列化就可以调用createThrowable

来源:https://ch1e.cn/post/apache-activemq-rce/

声明:⽂中所涉及的技术、思路和⼯具仅供以安全为⽬的的学习交流使⽤,任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的,否则后果⾃⾏承担。所有渗透都需获取授权

@学习更多渗透技能!体验靶场实战练习

免费领取安全学习资料包!

渗透工具

技术文档、书籍

 

面试题

帮助你在面试中脱颖而出

视频

基础到进阶

环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等

 

应急响应笔记

学习路线

渗透测试老鸟-九青
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Apache ActiveMQ RCE漏洞复现(CVE-2023-46604)
0xSec
10-26 8153
ActiveMQ是一个开源的消息代理和集成模式服务器,它支持Java消息服务(JMS) API。它是Apache Software Foundation下的一个项目,用于实现消息中间件,帮助不同的应用程序或系统之间进行通信。Apache ActiveMQ 中存在远程代码执行漏洞,Apache ActiveMQ在默认安装下开放了61616服务端口,而该端口并没有对传入数据进行适当的过滤,从而使攻击者能够构造恶意数据以实现远程代码执行。
Active MQ 任意文件写入漏洞/远程代码执行漏洞(CVE-2016-3088)
初岄的博客
09-13 1332
Active MQ 任意文件写入漏洞/远程代码执行漏洞(CVE-2016-3088)
RCE(命令执行)总结
leekos的博客,分享web安全相关知识~
01-05 2739
RCE(命令执行)总结
linux下安装activemq
请叫我猿叔叔的博客
07-17 3143
一. 官网下载activemq的压缩包 官网路径: http://activemq.apache.org/download.html 注: activemq安装需要安装jdk, 可以参考linux下安装jdk进行安装。 二. 安装步骤 2.1 上传安装包apache-activemq-5.15.4-bin.tar.gz 在/home/env目录下创建activemq目录,然后将安装包传到...
探索Apache ActiveMQ的安全边界:ActiveMQ-RCE工具深度解析
gitblog_00081的博客
06-01 711
探索Apache ActiveMQ的安全边界:ActiveMQ-RCE工具深度解析 项目地址:https://gitcode.com/X1r0z/ActiveMQ-RCE 在安全研究与攻防对抗的前沿阵地,每一个新发现的漏洞都是对技术边界的一次挑战。今天,我们聚焦于一个名为ActiveMQ-RCE的开源工具,它专为应对近期曝光的严重安全漏洞CVE-2023-46604而生,是Go语言的杰作。本文将全...
Apache ActiveMQ DEMO的搭建流程
lishirong_李世荣的专栏
11-03 1104
此处描述一下从配置mq软件到搭建项目的整个流程。 1.首先需要安装ActiveMQ,到Apache官网下载相关的安装包 http://activemq.apache.org/download-archives.html 此处我下载的版本是 ActiveMQ 5.9.1 Release ,将其解压到linux的centos下的/usr/local下的目录,进入/usr/local/apa
消息中间件ActiveMQ配置说明
08-18 753
消息中间件ActiveMQ配置说明 很多同学在使用ActiveMQ过程中,经常会对其配置不是很清楚,以至于造成困扰。今天特意对ActiveMQ这块配置作下解释说明。 1、首先进入ActiveMQ安装目录下的conf路径 2、对MQTT客户端的安全配置,mqtt协议默认是对应1883端口,其安全认证的帐号在conf/credentials.properties文件进行配置。 具体配置如下: 则表明mqtt帐号名为mqtt,密码为mqtt@2018 这是当mqtt客户端会话连接时用到,如
Apache ActiveMQ使用
wzl_csdn_001的博客
08-19 518
Apache ActiveMQ下载、安装、使用
Apache ActiveMQ配置
08-08 4273
内存配置、流量控制配置 (ActiveMQ内存溢出解决思路--主题与订阅模式) 消息流量控制配置:该配置是默认打开的,即内存将耗尽时会发生流量控制,这样MQ会减少生产者的消息,导致某些数据丢失;所以在默认配置下,MQ在原理上不会出现内存溢出的问题; 内存配置:如果不想数据丢失,就需要关闭流量控制,但是如果MQ处理消息量过大,容易导致AMQ的内存溢出,解决办法增大内存; 配置conf\acit
activeMQ5.15.15安装配置
u011682543的博客
01-12 1536
apache-activemq-5.15.15的安装与配置,登陆账户密码配置,TCP连接配置
Linux下安装activeMQ
根正苗红祖国小红花
01-15 2270
Linux下安装activeMQ 目前尽量下载5.15.15及以下版本,5.16.0版本及以上支持jdk1.9。 查看所有的 版本: ActiveMQhttps://activemq.apache.org/download-archives ​ ​ 一、下载:apache-activemq-5.15.15-bin.tar.gz 下载链接:ActiveMQhttps://activemq.apache.org/download-archives​ 二、安装activemq...
Penetration_Testing_POC-About 渗透测试有关的POC、EXP、脚本、提权、小工具等
weixin_46280935的博客
09-10 5476
Penetration_Testing_POC 搜集有关渗透测试中用到的POC、脚本、工具、文章等姿势分享,作为笔记吧,欢迎补充。 Penetration_Testing_POC 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone Web APP 提权辅助相关 PC tools-小工具集合 文章/书籍/教程相关 说明 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone 天翼创维awifi路由器存在多处未授权访问漏
Apache activeMQ漏洞复现
Shanfenglan's blog
12-14 3224
文章目录1. ActiveMQ 反序列化漏洞(CVE-2015-5254)2. ActiveMQ任意文件写入漏洞(CVE-2016-3088)2.1 利用参考文章 1. ActiveMQ 反序列化漏洞(CVE-2015-5254) Apache ActiveMQ 5.13.0之前5.x版本中存在安全漏洞,该漏洞源于程序没有限制可在代理中序列化的类。远程攻击者可借助特制的序列化的Java Message Service(JMS)ObjectMessage对象利用该漏洞执行任意代码。 工具下载地址:http
一道关于php文件包含的CTF题
m0_62903168的博客
08-27 1967
这是index.php的页面。点击login后会发现url里多了action的参数,那么我们就可以通过它来获取源码。?再通过base64的解码可以查看源码。
Android 模拟器的简单操作
浪客川
08-26 485
打开最近使用的程序,模拟设备的。返回到主页,模拟按下设备的。返回上一层,模拟按下设备的。
C语言入门基础知识(持续更新中)
最新发布
香草味冰淇淋
08-29 1067
C语言作为面向过程的计算机编程语言,属于高级语言范畴,它既有高级语言的特点,又有汇编语言特点。设计目标是提供一种能以简易方式编译、处理低级储存器的编程语言。它可以作为工作系统设计语言,编写系统应用程序,也可以作为应用程序设计语言,编写不依赖计算硬件的应用程序,代码精简,十分灵活。
Android 获取ip地址多种方式介绍
wenzhi的博客
08-29 1137
adb shell 的 ifconfig可以获取当前设备网络节点信息;这些信息使用Android代码也是可以获取的;Android 获取网络ip有多种方式,有时候某种方式获取失败的情况下;那么就可以换一种获取方式,所有多学习一下获取网络ip相关信息是有用的。本文介绍三种获取网络ip信息的方式,并且最后一种的代码不用任何权限就能获取到相关节点的ip和MAC地址,有兴趣的可以看看。
利用session.upload_progress执行文件包含
m0_70638961的博客
08-27 586
默认情况下,session.upload_progress是开启的,我们发送一下以下数据包,可见,我在上传文件的同时,POST了一个名为PHP_SESSION_UPLOAD_PROGRESS的字段,其值为。session.upload_progress最初是PHP为上传进度条设计的一个功能,在上传文件较大的情况下,PHP将进行流式上传,并将进度信息放在Session中(包含用户可控的值),即使此时用户没有初始化Session,PHP也会自动初始化Session。按理来说这个脚本是没什么问题的。
vulhub靶场练习
07-28
在Vulhub靶场中,你可以学习和实践Apache换行解析漏洞(CVE-2017-15715)、Apache多后缀解析漏洞(apache_parsing_vulnerability)以及Apache ssl远程命令执行漏洞(ssi-rce)等漏洞。这些漏洞都有相应的漏洞描述、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值