Apache OfBiz 反序列化命令执行漏洞(CVE-2023-49070)

最新推荐文章于 2024-05-28 23:59:42 发布
最新推荐文章于 2024-05-28 23:59:42 发布
阅读量538 收藏
点赞数
文章标签: apache
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LJQClqjc/article/details/134968453
版权

项目介绍

Apache OFBiz是一个非常著名的电子商务平台,是一个非常著名的开源项目,提供了创建基于最新J2EE/XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。OFBiz最主要的特点是OFBiz提供了一整套的开发基于Java的web应用程序的组件和工具。包括实体引擎, 服务引擎, 消息引擎, 工作流引擎, 规则引擎等。

项目地址

  • https://ofbiz.apache.org/

漏洞概述

在Apache OFBiz 17.12.03版本及以前存在一处XMLRPC导致的反序列漏洞,官方于后续的版本中对相关接口进行加固修复漏洞,但修复方法存在绕过问题(CVE-2023-49070),攻击者仍然可以利用反序列化漏洞在目标服务器中执行任意命令。

影响的版本

Apache OFBiz < 18.12.10

环境搭建

下载完成vulhub后,进入CVE-2023-49070目录,直接执行docker compose up -d 命令即可。

漏洞复现

1、使用CommonsBeanutils1链构造恶意paylod

java -jar ysoserial.jar CommonsBeanutils1 "touch /tmp/success" | base64 | tr -d "\n"

2、使用如下poc

3、命令成功执行

漏洞分析

此次漏洞产生的根源是xmlrpc组件的反序列化漏洞,但是由于xmlrpc已经不在更新维护,因此Apache OFBiz项目组决定删除相关代码,已彻底修复该问题,也删除了之前的补丁代码。

实际上CVE-2023-49070是历史漏洞CVE-2020-9496的绕过,CVE-2020-9496的修复补丁如下,仅是在Filter中对存在漏洞的uri和内容进行校验。

但是该补丁可以被绕过,原因是OFBiz采用了tomcat中间件,而tomcat支持/control/xmlrpc;/格式的uri,因此if条件不成立,成功绕过。

但是绕过补丁后,仍然需要登录才可以利用,这里又涉及到了一个认证绕过漏洞。认证代码如下,当下来代码返回结果不为success时,将返回登录页面

在checklogin函数中,存在如下逻辑,只要不满足任何下列条件,将返回success

由于username、password可以被用户控制,在login函数中又存在如下逻辑

因此构造/xxxx/?USERNAME=&PASSWORD=&requirePasswordChange=Y格式的url让认证函数返回success,即可绕过认证。结合上述分析,即可实现preauth-rce。

参考链接

  • https://github.com/vulhub/vulhub/blob/master/ofbiz/CVE-2023-49070/README.zh-cn.md
  • https://issues.apache.org/jira/browse/OFBIZ-12812
  • https://github.com/apache/ofbiz-framework/commit/abe2e4399e
棱镜七彩
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CVE-2023-49070Apache Ofbiz XML-RPC远程命令执行漏洞复现[附POC]
薛定谔嘚喵博客
01-11 494
由于Apache OFBiz XML-RPC存在历史的反序列化漏洞CVE-2020-9496)(未修复,XML-RPC官方不再维护),未经身份验证的恶意攻击者通过构造特殊请求,成功利用此漏洞可在目标服务器上执行任意代码,获取目标服务器的控制权限。
Apache OFBiz漏洞 CVE-2023-49070 的前世今生
离别歌
12-08 751
最新的Apache OFBiz XML-RPC 反序列化漏洞,讲讲它的前世今生。前世Apache OFBiz是一个开源的开发框架,它提供了一些预置的逻辑用于开发企业级的业务流程。早在2020年,Apache OFBiz就曾出现过一个反序列化漏洞CVE-2020-9496),问题出现在XML-RPC这个组件中。XML-RPC也是Apache基金会旗下的一个项目,但基本上在2010年前后就不更新了,...
开源ERP-apache-ofbiz-17.12.04.zip
07-18
Apache OFBiz 是用于企业流程自动化的开源产品,包括 ERP(企业资源规划)、CRM(客户关系管理)、电子商务/电子商务、SCM(供应链管理)、MRP(制造资源规划)、MMS / EAM(维护管理系统/企业资产管理)的框架组件和业务应用。 Apache OFBiz 为可靠、安全和可扩展的企业解决方案提供了基础和起点。开箱即用,自定义或将其用作框架来实现您最具挑战性的业务需求。使用 OFBiz ,您可以立即开始,而无需传统企业自动化系统的巨大部署和维护成本。随着业务的发展,您可以扩展功能以满足您更加复杂的需求。 Apache OFBiz 项目是 Apache 软件基金会的一部分。
漏洞复现--Apache Ofbiz XML-RPC RCE(CVE-2023-49070
qq_53003652的博客
12-07 1505
近日,亚信安全CERT监控到Apache OFBiz发布更新公告,修复了Apache OFBiz中的一个未授权远程代码执行(CVE-2023-49070)。该漏洞源于Apache OFBiz中存在不再维护的XML-RPC组件。XML-RPC是一种远程过程调用协议,它支持应用程序之间通过XML进行通信。虽然XML-RPC曾经被广泛使用,但由于安全问题,它已被弃用。利用该漏洞攻击者可以在受影响的Apache OFBiz服务器上执行任意代码,而无需事先进行任何身份验证。
Goby 漏洞发布| Apache OFBiz webtools/control/xmlrpc 远程代码执行漏洞CVE-2023-49070
m0_46699477的博客
12-07 244
Apache OFBiz是一个开源的企业资源规划(ERP)系统,提供了多种商业功能和模块。Apache OFBiz 在 webtools/control/xmlrpc 存在反序列化代码执行漏洞,攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个 web 服务器。
Apache OfBiz 反序列化命令执行漏洞CVE-2020-9496)
黑白的博客
12-27 1429
声明 好好学习,天天向上 漏洞描述 Apache OFBiz是一个非常著名的电子商务平台,是一个非常著名的开源项目,提供了创建基于最新J2EE/XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。 OFBiz最主要的特点是OFBiz提供了一整套的开发基于Java的web应用程序的组件和工具。包括实体引擎, 服务引擎, 消息引擎, 工作流引擎, 规则引擎等。 其17.12.04版本之前的XMLRPC接口存在一处反序列化漏洞,攻击者利用这个漏洞可以
CVE-2021-26295 Apache OFBiz 反序列化漏洞.md
04-13
CVE-2021-26295 Apache OFBiz 反序列化漏洞
CVE-2021-26295-Apache-OFBiz:CVE-2021-26295 Apache OFBiz rmi反序列化POC
03-25
CVE-2021-26295-Apache-OFBiz CVE-2021-26295 Apache OFBiz rmi反序列化POC需要将ysoserial.jar放置在目录下,并且不能使用java的高版本
CVE-2020-9496 ofbiz反序列化漏洞分析1
08-03
CVE-2020-9496 ofbiz反序列化漏洞分析1
Apache OFBiz企业流程自动化-其他
06-11
Apache OFBiz是用于企业流程自动化的开源产品,包括ERP(企业资源规划)、CRM(客户关系管理)、电子商务/电子商务、SCM(供应链管理)、MRP(制造资源规划)、MMS / EAM(维护管理系统/企业资产管理)的框架组件和...
Apache+OFBiz+开发初学者指南.chm
03-19
OFBiz是一个非常著名的电子商务平台,是一个非常著名的开源项目,提供了创建基于最新J2EE/XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。 OFBiz最主要的特点是OFBiz提供了一整套的开发基于Java的web应用程序的组件和工具。包括实体引擎, 服务引擎, 消息引擎, 工作流引擎, 规则引擎等。
apache-ofbiz-13.07.02.zip
08-14
apache-ofbiz-13.07.02.zip
Apache OFBiz XML-RPC远程代码执行漏洞(CVE-2023-49070)漏洞复现
qq_53733257的博客
12-11 1361
CVE-2023-49070 漏洞复现
CVE-2023-49070&&CVE-2020-9496 OFBIZ XML-RPC漏洞分析
zkaqlaoniao的博客
12-19 230
可以看到在XmlRpcRequestParser的节点解析中,前面几个默认是methodCall,methodName,params,param,这个处理过程是随着每次遍历标签进行的,当扫描完4个必须提供的标签后,会调用父类的。这里直接用yakit发,开始打半天没打通,后面才看到是解码错误,是百分号的问题,平常发base64习惯urlencode发,直接用原始的base64发包即可。进行处理,而typeParser就是在父类中完成赋值的,随后便通过不同的解析器进入不同的解析流程,还是会调用对应解析器的。
Apache OFBiz 学习
何以问_的博客
08-12 1315
OFBiz进阶学习 1.准备 1.1环境及工具 Intellij IDEA 2020.1 JDK1.8.xx MySQL5 OFBIZ版本 (当前发布最新版17.12.04-发布于2020-07-13) 这里使用16.11.05 下载链接 2.下载 Apache OfBiz 框架 下载链接 下载之后解压 Apache OFBiz 自带的数据库为 Derby 后续可以配置成MySQL数据库 3.运行 Apache OFBiz gradlew cleanAll loadDefau
漏洞分析|Apache OFBiz 未授权远程代码执行漏洞 (CVE-2023-49070)
xuandaoren的博客
12-08 649
这个函数里有两个关键的if语句,第一个if语句判断当前的path是不是等于/control/xmlrpc,第二个if语句判断body中是否包含</serializable,如果两个if语句都满足,则filter退出,不执行后续逻辑。我们先看CVE-2020-9496的补丁https://github.com/apache/ofbiz-framework/commit/d955b03fdc226d600d81d19d273e773f84b5c000。这个补丁的作用是为XML-RPC的接口增加鉴权。
编译安装Apache httpd服务(LAMP1)
2401_83784772的博客
05-28 584
echo "20.0.0.3 www.xy.com" >> /etc/hosts 输入20.0.0.3 www.xy.com追加。5.优化配置文件路径,并把httpd服务的可执行程序文件放入路径环境变量的目录中便于系统识别。http://20.0.0.3 http://www.xy.com 进行验证。1.初始化设置,将Apache所需软件包传到 /opt 目录下。1.初始化设置,将Apache所需软件包传到 /opt 目录下。(2)上传软件包到/opt目录。7.修改httpd服务配置文件。
Apache Doris 2.1.3 版本正式发布!
SelectDB
05-22 951
确保用户定义的变量能够正确地传递到 Master 节点,以便在整个系统中保持一致性和正确的执行逻辑。
小熊家务帮day5 客户管理模块1 (小程序认证,手机验证码认证等)
最新发布
lihao1875699404的博客
05-28 505
一般情况有用户交互的项目都有认证授权功能,首先要搞清楚两个概念:认证和授权。 认证: 就是校验用户的身份是否合法,常见的认证方式有账号密码登录、手机验证码登录等。 授权:则是该用户登录系统成功后当用户去点击菜单或操作数据时系统判断该用户是否有权限,有权限则允许继续操作,没有权限则拒绝访问。本项目包括四个端:用户端(小程序)、服务端(app)、机构端(PC)、运营管理端(PC). 分别对应四类用户角色:家政需求方即c端用户,家政服务人员、家政服务公司(机构)、平台运营人员。用户端通过小程序使用平台,初次使用小
CVE-2020-9496
08-31
CVE-2020-9496是Apache Ofbiz组件中的一个漏洞。根据引用和引用的内容,该漏洞被评级为高危,漏洞评分为8.0。这个漏洞的具体细节和复现可以参考引用中的文章。根据引用的内容,该漏洞是通过利用Apache Ofbiz中的XMLRPC RCE漏洞来实现的。具体的复现过程可以参考引用中提供的文章。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [CVE-2020-9496 Apache OFBiz XML-RPC反序列化漏洞复现](https://blog.csdn.net/Shadow_DAI_990101/article/details/126490894)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *3* [CVE-2020-9496:Apache Ofbiz 反序列化漏洞分析](https://blog.csdn.net/weixin_45728976/article/details/108872281)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值