Apache ActiveMQ RCE漏洞 CVE-2023-46604复现分析

原创 th1e 山石网科安全技术研究院 2023-11-07 10:41

一早起来看见群里炸锅了，全都是Apache ActiveMQ的在野利用，搜了一下资料发现有一篇已经被撤回的分析文章。

先找小伙伴要了一下源码，然后找了一下资产，不想自己搭建环境了，搞个灰盒分析吧。

一切准备就绪开始漏洞分析。

漏洞分析

先看下补丁做了些什么：

可以看到这里BaseDataStreamMarshaller中加入了新的validateIsThrowable 方法

那么我们可以在这里构建请求

通过覆写ClassPathXmlApplicationContext继承Throwable

接着，在这里重写oneway，回写ExceptionResponse

到这里我们整个利用链就梳理完成了，接着启动activeMQ

mq启动命令：create --name=activemq -it -p 61616:61616 -p 8161:8161 webcenter/activemq:latest

然后这里我们拿一个github上的poc

将poc.xml放到网站上等待
ActiveMQ获取

“ 

tips: docker容器访问宿主机地址 host.docker.internal

”

最后执行成功得到shell

核心代码目录如下

上面已经实现了RCE，但是在搜索资料的时候发现了一个有趣的msf插件，已经有研究员写好了这个漏洞的exp：

可以直接通过msf去执行，
这里通过echo生成worked.txt

最后看一下这个攻击过程的数据包流量

至此