代码编织梦想

ActiveMQ 反序列化漏洞(CVE-2015-5254)复现

导语

Apache ActiveMQ是美国阿帕奇(Apache)软件基金会所研发的一套开源的消息中间件,它支持Java消息服务、集群、Spring Framework等。

Apache ActiveMQ 5.13.0之前5.x版本中存在安全漏洞,该漏洞源于程序没有限制可在代理中序列化的类。远程攻击者可借助特制的序列化的Java Message Service(JMS)ObjectMessage对象利用该漏洞执行任意代码。

官方漏洞通告地址:Security Advisories - ActiveMQ 5.x

漏洞环境

git clone https://github.com/vulhub/vulhub.git
cd ~/vulhub/activemq/CVE-2015-5254

直接执行如下命令,进行漏洞靶场的编译和运行:

# 可选
docker-compose build

docker-compose up -d

P.S.为什么docker-compose build是可选的?

docker-compose up -d运行后,会自动查找当前目录下的配置文件。如果配置文件中包含的环境均已经存在,则不会再次编译;如果配置文件中包含的环境不存在,则会自动进行编译。所以,其实docker-compose up -d命令是包含了docker-compose build的。如果更新了配置文件,你可以手工执行docker-compose build来重新编译靶场环境。
在这里插入图片描述本次docker容器中ActiveMQ 的版本是ActiveMQ 5.11.1,环境运行后,将监听61616和8161两个端口。其中61616是工作端口,消息将在这个端口进行传递。8161是Web管理页面端口。访问http://your-ip:8161 即可看到web管理页面,不过这个漏洞理论上是不需要web的。

漏洞复现

漏洞利用过程如下:

  1. 构造(可以使用ysoserial)可执行命令的序列化对象;
  2. 作为一个消息,发送给目标61616端口;
  3. 访问web管理页面,读取消息,触发漏洞。

使用jmet进行漏洞利用。首先下载jmet的jar文件,并在同目录下创建一个external文件夹(否则可能会爆文件夹不存在的错误)。

jmet原理是使用ysoserial生成Payload并发送(其jar内自带ysoserial,无需再自己下载),当我们使用ysoserial,需要选择可用的gadget,比如ROME。

执行:

java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "touch /tmp/success" -Yp ROME your-ip 61616

此时会给目标ActiveMQ添加一个名为event的队列,我们可以通过http://your-ip:8161/admin/browse.jsp?JMSDestination=event看到这个队列中所有消息:

( login / password: admin / admin ):
点击查看这条消息即可触发命令执行,此时进入容器docker-compose exec activemq bash,可见/tmp/success已成功创建,说明漏洞利用成功:
将命令替换成弹shell语句(需要base64编码,payload在线编码):
同理点击消息,触发漏洞,成功反弹shell:
在这里插入图片描述
最后,值得注意的是:此漏洞,需要通过web管理页面访问消息并触发漏洞,且这个过程需要管理员权限。在没有密码的情况下,我们可以诱导管理员访问我们的链接以触发,或者伪装成其他合法服务需要的消息,等待客户端访问的时候触发。

移除环境

Vulhub中所有环境均为漏洞靶场,在测试结束后,请及时关闭并移除环境,避免被他人恶意利用。

虽然靶场全部运行在Docker中,但大多数恶意软件并不会因为运行在容器中就失去效果!

前面说了,docker-compose会默认根据当前目录下的配置文件启动容器,在关闭及移除环境的时候,也需要在对应目录下。我们执行docker-compose up -d后,不要离开当前目录即可,漏洞测试结束后,执行如下命令移除环境:

docker-compose down

上述命令会执行如下几个动作:

  1. 关闭正在运行的容器
  2. 删除所有相关容器
  3. 移除NAT(docker-compose在运行的时候会创建一个NAT网段)

但不会移除编译好的漏洞镜像,下次再执行docker-compose up -d命令,就不需要再次编译相关镜像了。

P.S. docker-compose down 完整命令:

docker-compose down [options]
停止和删除容器、网络、卷、镜像。
选项包括:
--rmi type,删除镜像,类型必须是:all,删除compose文件中定义的所有镜像;local,删除镜像名为空的镜像;
-v, -volumes,删除已经在compose文件中定义的和匿名的附在容器上的数据卷;
–remove-orphans,删除服务中没有在compose中定义的容器。

修复建议

  1. 升级到最新版本
  2. 有WAF的可以配置相关规则进行拦截

POC&EXP

暂无

Reference

https://github.com/vulhub/vulhub

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 本文链接: https://blog.csdn.net/qq_40708881/article/details/110944874

SQL数据库中了.chch后缀勒索病毒如何解决?-爱代码爱编程

  什么是chch勒索病毒? Chch由GrujaRS发现,是勒索病毒感染。该恶意软件旨在对数据进行加密,并要求为解密工具/软件支付赎金。Chch加密时,所有受影响的文件都使用“ .chch ”扩展名重命名。例如,“ 1.jpg ”在加密后将显示为“ 1.jpg.chch ”。此过程完成后,文本文件(“ READ_ME.TXT ”)存储在桌面上。该文件

java反序列化漏洞测试-爱代码爱编程

java反序列化漏洞测试 反序列化漏洞测试类正式测试 反序列化漏洞 package com.lcw.demo; import java.io.*; import java.util.HashMap; import java.util.Map; // 用到的commons.collections包 import com.alibaba.fas

前端安全(1):引起前端安全问题的因素-爱代码爱编程

一、有那些可能引起前端安全的问题 跨站脚本(Cross-Site Scripting,XSS):一种代码注入方式,为了与CSS区分所以被称为XSS,早期常见于网络论坛,起因是网站没有对用户的输入进行严格的限制,使得攻击者可以将脚本上传到帖子让其他人浏览到有恶意脚本的页面,其注入方式很简单包括但不限于Javascript / VBScript / CSS

vulhub漏洞复现系列之Adobe ColdFusion(cve-2010-2861文件读取漏洞、CVE-2017-3066反序列化漏洞)-爱代码爱编程

CVE-2010-2861)Adobe ColdFusion 文件读取漏洞 一、漏洞简介 Adobe ColdFusion 8、9版本中存在一处目录穿越漏洞,可导致未授权的用户读取服务器任意文件。 二、漏洞影响 Adobe ColdFusion 8 Adobe ColdFusion 9 三、漏洞复现 直接访问http://www.0-sec.org:85

CVE-2020-25540:ThinkAdmin未授权列目录/任意文件读取漏洞复现-爱代码爱编程

目录   1. 简介 2. 影响范围 3. 环境搭建 3.1 安装Composer 4. 漏洞复现 4.1 列举目录 4.2 任意文件读取 1. 简介 ThinkAdmin 是基于 ThinkPHP后台开发框架,在ThinkAdmin v6版本存在路径遍历漏洞,该漏洞可以利用GET请求编码参数读取远程服务器上任意文件。 2. 影响范围

前端安全(2):跨站脚本(Cross-Site Scripting,XSS)-爱代码爱编程

一、XSS分为哪几类? 根据攻击的来源,XSS攻击可分为储存型、反射型、和DOM型三种 储存区:恶意代码存放的位置。插入点:由谁取得恶意代码,并插入到网页上。1. 储存型XSS 储存型XSS的攻击步骤: 攻击者将恶意代码提交到目标网站的数据库中。⽤户打开⽬标网站时,网站服务端将恶意代码从数据库取出,拼接在 HTML 中返回给浏览器。⽤户浏览器接收到

MQ 系列之 ActiveMQ 传输协议-爱代码爱编程

1.1 简介 1.1.1 概述   ActiveMQ 支持的 client-broker 通讯协议有:TCP、NIO、UDP、SSL、Http(s)、VM。其中配置 Transport Connector 的文件在 activeMQ 安装目录的 conf/activemq.xml 中的 <transportConnectors> 标签之内。

Mac 直接下载或用homeberw下载与安装ActiveMQ-爱代码爱编程

1.首先在activemq官网下载压缩包 解压后进入/bin/macosx目录下 通过./activemq start命令启动 控制台出现Starting ActiveMQ Broker… 启动成功 在浏览器输入 127.0.0.1:8161/admin/ 默认的用户名和密码都是admin 如图启动成功 2.mac 使用Homebrew安装Ac

ActiveMQ 的使用方法-爱代码爱编程

原理图 Queue Producer 生产者:生产消息,发送端。 把jar包添加到工程中。使用5.11.2版本的jar包。 第一步:创建ConnectionFactory对象,需要指定服务端ip及端口号。 第二步:使用ConnectionFactory对象创建一个Connection对象。 第三步:开启连接,调用Connection对象的star

MQ 系列之 ActiveMQ 消息持久化机制-爱代码爱编程

1.1 简介 1.1.1 概述   为了避免意外宕机以后丢失信息,需要做到重启后可以恢复消息队列,消息系统一般都会采用持久化机制。ActiveMQ 的消息持久化机制有 JDBC,AMQ,KahaDB 和 LevelDB,无论使用哪种持久化方式,消息的存储逻辑都是一致的。就是在发送者将消息发送出去后,消息中心首先将消息存储到本地数据文件、内存数据库或者远

Pulsar 社区周报| 2020-11-28 ~ 2020-12-04-爱代码爱编程

关于 Apache Pulsar Apache Pulsar 是 Apache 软件基金会顶级项目,是下一代云原生分布式消息流平台,集消息、存储、轻量化函数式计算为一体,采用计算与存储分离架构设计,支持多租户、持久化存储、多机房跨区域数据复制,具有强一致性、高吞吐、低延时及高可扩展性等。 项目地址:http://github.com/apac

MQ 系列之 ActiveMQ 搭建 Zookeeper + Replicated LevelDB 集群-爱代码爱编程

1.1 简介 1.1.1 概述   从 ActiveMQ 5.9 开始,ActiveMQ 的集群实现方式取消了传统的 Masster-Slave 方式.,增加了基于 Zookeeper + LevelDB 的 Master-Slave 实现方式,从 5.9 版本后也是官网推荐。需要注意的是 LevelDB 存储尚不支持存储与“延迟”和“计划任务消息”关