漏洞描述
Apache ActiveMQ 是由美国 Pachitea (Apache) 软件基金会开发的开源消息传递中间件,支持 Java 消息传递服务、集群、Spring 框架等。
Apache ActiveMQ 版本 5.x 之前的 5.13.0 安全漏洞,该漏洞由程序导致,不限制代理中可以序列化的类。远程攻击者可利用此漏洞使特殊的序列化 Java 消息服务 (JMS) ObjectMessage 对象执行任意代码。
漏洞环境及利用
启动docker环境
访问8161端口,账号密码为默认admin/admin,发现该版本存在漏洞
为了利用这种环境,我们将使用 jmet(Java 消息开发工具)。首先下载 jmet 的 jar 文件,并在同一目录下创建名为 external 的文件夹(否则可能会出现文件夹不存在的错误)。
jmet 就是使用 ysoserial 生成 Payload 并发送(jar 自带 ysoserial,我们不知道需要重新下载),所以我们需要选择一个可以在 ysoserial 中用作小工具的,比如 ROME。
#下载jmet的jar包
wget https://github.com/matthiaskaiser/jmet/releases/download/0.1.0/jmet-0.1.0-all.jar
#创建external目录
mkdir external
执行命令,将有效负载发送到目标IP的61616端口,调用java -jar 运行 jmet的jar包,-Q是插入一个名为event的队列,-I 是选择装载ActiveMQ模块 ,-s 是选择ysoserial payload ,-Y 是攻击模式和内容, -Yp 是选择攻击利用链,这是选择是ROME, 之后带上IP加端口。
访问http://192.168.232.128:8161/admin/browse.jsp?JMSDestination=event
可以看到队列和队列中的消息,点击消息即可触发命令执行
进入docker容器,可以发现完成利用