APACHE OFBIZ XML-RPC 反序列化漏洞 (CVE-2020-9496) 的复现与分析

最新推荐文章于 2024-06-20 16:17:06 发布
最新推荐文章于 2024-06-20 16:17:06 发布
阅读量1.3k 收藏 1
点赞数
文章标签: http servlet rpc ext web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/smellycat000/article/details/111602497
版权

 聚焦源代码安全,网罗国内外最新资讯!

1.1 状态

完成漏洞挖掘条件分析、漏洞复现。

1.2 简介

相关的重点类和方法:

  • org.apache.xmlrpc.parser.SerializableParser 包含序列化代码;

  • org.apache.ofbiz.webapp.control.RequestHandler负责发送请求至“/webtools/control/xmlrpc”端点;

  • org.apache.ofbiz.webapp.event.XmlRpcEventHandler#execute()方法;

  • org.apache.ofbiz.webapp.event.XmlRpcEventHandler#getRequest()方法的XMLReader类的parse()方法可开展XML解析工作。

  • org.apache.xmlrpc.parser.XmlRpcRequestParser、org.apache.xmlrpc.parser.RecursiveTypeParserImpl、org.apache.xmlrpc.parser.MapParser类可解析XML-RPC请求中的元素。

序列化问题在于org.apache.xmlrpc.parser.SerializableParser#getResult()方法。OFBiz使用的 Apache Commons BeanUtils 库和 Apache ROME库存在漏洞。

XML-RPC是一个远程过程调用(RPC)协议。

版本:APACHE-OFBIZ-16.11.05,jdk1.8。

1.3 漏洞挖掘能力条件

  • 根据调试信息可精准定位入口点。

  • 认为可灵活导入所需jar包。

1.4 利用方法

入口点是 /webtools/control/xmlrpc,因此从framework/webtools/webapp/webtools/WEB-INF/web.xml(如果没有WEB-INF/web.xml文件,tomcat会输出找不到的消息)开始深入分析。

framework/webtools/webapp/webtools/WEB-INF/web.xml

<servlet>

        <description>Main Control   Servlet</description>

          <display-name>ControlServlet</display-name>

          <servlet-name>ControlServlet</servlet-name>

          <servlet-class>org.apache.ofbiz.webapp.control.ControlServlet</servlet-class>   【路由目的地】

          <load-on-startup>1</load-on-startup>

    </servlet>

    <servlet-mapping>

        <servlet-name>ControlServlet</servlet-name>

          <url-pattern>/control/*</url-pattern> 【待路由目录】

    </servlet-mapping>

org.apache.ofbiz.webapp.control.ControlServlet#doPost

-

org.apache.ofbiz.webapp.control.ControlServlet#doGet

long   requestStartTime = System.currentTimeMillis();

        RequestHandler requestHandler =   this.getRequestHandler(); 【a】

        HttpSession session =   request.getSession();

String   errorPage = null;

        try {

            // the ServerHitBin call for the   event is done inside the doRequest method

            requestHandler.doRequest(request,   response, null, userLogin, delegator); 【d】

a

org.apache.ofbiz.webapp.control.RequestHandler#RequestHandler

        this.controllerConfigURL =   ConfigXMLReader.getControllerConfigURL(context); 【b】

this.eventFactory   = new EventFactory(context, this.controllerConfigURL);  【c】

b

org.apache.ofbiz.webapp.control.ConfigXMLReader#getControllerConfigURL

public   static URL getControllerConfigURL(ServletContext context) {

        try {

            return   context.getResource(controllerXmlFileName); 【controllerXmlFileName= /WEB-INF/controller.xml

        } catch (MalformedURLException e) {

            Debug.logError(e, "Error   Finding XML Config File: " + controllerXmlFileName, module);

            return null;

        }
最低0.47元/天 解锁文章
奇安信代码卫士
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Apache Ofbiz XMLRPC RCE漏洞CVE-2020-9496复现
锋刃科技的博客
12-26 886
简介 OFBiz是一个非常著名的电子商务平台,是一个非常著名的开源项目,提供了创建基于最新J2EE/XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。 OFBiz最主要的特点是OFBiz提供了一整套的开发基于Java的web应用程序的组件和工具。包括实体引擎, 服务引擎, 消息引擎, 工作流引擎, 规则引擎等。 影响版本 Apache Ofbiz:< 17.12.04 环境搭建 docker pull andy..
CVE-2020-9496 ofbiz反序列化漏洞分析1
08-03
CVE-2020-9496 ofbiz反序列化漏洞分析 OFBiz是一个非常著名的电子商务平台,是一个非常著名的开源项目,提供了创建基于最新J2EE/XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、...
【推荐】网络安全中的漏洞挖掘实践合集.zip
09-03
推荐,网络安全中的漏洞挖掘实践合集,仅供大家学习参阅,包含内容如下: 针对现实应用的文本对抗攻击研究 安全众测下的漏洞发展新趋势 安卓应用漏洞挖掘 从0到1-发现与拓展攻击面 对基于Git的版本控制服务的通用攻击面的探索 对民用飞行控制系统固件的逆向与漏洞分析 卫星通信的安全缺陷 基于全流量的智慧漏洞挖掘 基于运行时类型嗅探技术提高模糊测试的漏洞发掘效果 漏洞挖掘进化论-推开xray之门 逆向在漏洞挖掘中的应用 苹果攻击面和漏洞挖掘自动化研究 如何从高赏金项目中拿到高危 如何去挖掘物联网环境中的高级恶意软件威胁 如何在3个月发现 12 个内核信息泄露漏洞 沙箱内持久化.行之有效的沙箱攻击新思路 深度解析Weblogic_XMLDecoder反序列化 使用数据流敏感模糊测试发现漏洞 锁不住的安全 谈谈工业协议转换器的一些问题 逃逸IE浏览器沙箱-在野0Day漏洞利用复现 为何自动化漏洞挖掘如此困难 现代可抵赖后门研究 一扇虚掩的大门-现代智能系统的重要攻击面 源代码漏洞挖掘 远程root现代安卓设备 在现代Windows内核中发现存在20年的漏洞 针对智能设备漏洞挖掘的一些新方法 AI用于软件漏洞挖掘 AndroidWebView安全攻防指南2020 Java反序列化漏洞自动挖掘方法 macOS从运行库劫持到内核提权 MTK安全启动大剖析.CIS大会分论 MyBatis框架下SQL注入解决方案 Qemu-kvm和ESXi虚拟机逃逸实例分享 WEB常见漏洞与挖掘技巧研究 Web漏洞挖掘速成特训营 混合式漏洞挖掘研究进展
CVE-2020-9496 Apache OFBiz XML-RPC反序列化漏洞复现
Shadow_DAI_990101的博客
08-23 2198
CVE-2020-9496 Apache OFBiz XML-RPC反序列化漏洞复现
Apache OFBiz中的XML-RPC问题
最新发布
从小白成长为高级安全专家
06-20 736
Apache OFBizXML-RPC反序列化漏洞CVE-2020-9496中,学习该知识点,并学习CVE-2023-49070如何绕过修复。顺便提一下Apache OFBiz最新的几个漏洞CVE-2023-51467、CVE-2024-32113和CVE-2024-36104。这部分内容不是XML-RPC的重点,但是既然存在逻辑连贯性,文章里就简单写一下。
Apache OfBiz 反序列化命令执行漏洞CVE-2020-9496
黑白的博客
12-27 1468
声明 好好学习,天天向上 漏洞描述 Apache OFBiz是一个非常著名的电子商务平台,是一个非常著名的开源项目,提供了创建基于最新J2EE/XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。 OFBiz最主要的特点是OFBiz提供了一整套的开发基于Java的web应用程序的组件和工具。包括实体引擎, 服务引擎, 消息引擎, 工作流引擎, 规则引擎等。 其17.12.04版本之前的XMLRPC接口存在一处反序列化漏洞,攻击者利用这个漏洞可以
Goby 漏洞发布| Apache OFBiz webtools/control/xmlrpc 远程代码执行漏洞CVE-2023-49070)
m0_46699477的博客
12-07 273
Apache OFBiz是一个开源的企业资源规划(ERP)系统,提供了多种商业功能和模块。Apache OFBizwebtools/control/xmlrpc 存在反序列化代码执行漏洞,攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个 web 服务器。
CVE-2021-26295 Apache OFBiz 反序列化漏洞.md
04-13
CVE-2021-26295 Apache OFBiz 反序列化漏洞
ofbizApache OFBiz-主要开发已移至ofbiz-frameworks存储库
02-03
ApacheOFBiz:registered: 欢迎使用ApacheOFBiz:registered: ! 一个功能强大的顶级Apache软件项目。 OFBiz是用Java编写的企业资源计划(ERP)系统,并包含大量库,实体,服务和功能,以运行您的业务的各个方面。 ...
apache-ofbiz-13.07.02.zip
08-14
apache-ofbiz-13.07.02.zip
apache-ofbiz-16.11.02源码+ofbiz菜鸟笔记+Apache+OFBiz+开发初学者指南
09-14
apache-ofbiz-16.11.02.zip,ofbiz菜鸟笔记,Apache+OFBiz+开发初学者指南.chm
一种基于模糊测试的车载ECU漏洞挖掘方法
03-14
一种基于模糊测试的车载ECU漏洞挖掘方法,李涛,徐国爱,随着车联网的飞速发展和一种基于模糊测试的车载ECU漏洞挖掘方法汽车智能化的不断提高,通过CAN总线连接的车载ECU作为车辆核心控制节
Apache OfBiz 反序列化命令执行漏洞CVE-2020-9496漏洞
weixin_48413667的博客
09-10 1114
一、软件介绍 Apache OFBiz是一个非常著名的电子商务平台,是一个非常著名的开源项目,提供了创建基于最新J2EE/XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。 OFBiz最主要的特点是OFBiz提供了一整套的开发基于Java的web应用程序的组件和工具。包括实体引擎, 服务引擎, 消息引擎, 工作流引擎, 规则引擎等。 二、漏洞描述 Apache OFBiz在17.12.04版本之前的XMLRPC接口存在一处反序列化漏洞
[CVE-2020-9496]Apache Ofbiz RCE
公众号shadow sock7
09-23 2319
参考: Apache Ofbiz RCE (CVE-2020-9496) 漏洞分析 CVE-2020-9496 apache ofbiz xml-rpc反序列化漏洞分析 https://www.zerodayinitiative.com/blog/2020/9/14/cve-2020-9496-rce-in-apache-ofbiz-xmlrpc-via-deserialization-of-untrusted-data 如果遇到java.lang.UnsupportedClassVersionErr
CVE-2023-49070&&CVE-2020-9496 OFBIZ XML-RPC漏洞分析
zkaqlaoniao的博客
12-19 261
可以看到在XmlRpcRequestParser的节点解析中,前面几个默认是methodCall,methodName,params,param,这个处理过程是随着每次遍历标签进行的,当扫描完4个必须提供的标签后,会调用父类的。这里直接用yakit发,开始打半天没打通,后面才看到是解码错误,是百分号的问题,平常发base64习惯urlencode发,直接用原始的base64发包即可。进行处理,而typeParser就是在父类中完成赋值的,随后便通过不同的解析器进入不同的解析流程,还是会调用对应解析器的。
CVE-2020-9496Apache Ofbiz 反序列化漏洞分析
爱国小白帽
09-29 2105
原创 360CERT [三六零CERT](javascript:void(0)???? 今天 报告编号:B6-2020-092902 报告来源:360CERT 报告作者:360CERT 更新日期:2020-09-29 0x01 漏洞简述 2020年09月29日, 360CERT对Apache ofbiz组件的反序列化漏洞进行了分析,该漏洞编号为 CVE-2020-9496漏洞等级:高危,漏洞评分:8.0。 Apache ofbiz 存在 反序列化漏洞,攻击者 通过 访问未授权接口,构造特定的xmlrpc
CVE-2020-9496 OFBIZ XML-RPC漏洞分析漏洞复现
2301_80115097的博客
12-11 192
最近披露了Apache OFBiz 未授权远程代码执行漏洞,是对CVE-2020-9496的绕过,所以先来看看这个漏洞复现环境:17.12.03。
MS08-067远程代码执行漏洞(CVE-2008-4250) | Windows Server服务RPC请求缓冲区溢出漏洞复现
Shadow_DAI_990101的博客
09-14 3341
SMB(Server Message Block)是一个协议服务器信息块,它是一种客户机/服务器、请求/响应协议,通过SMB协议可以在计算机间共享文件、打印机、命名管道等资源,电脑上的网上邻居就是靠SMB实现的;SMB协议工作在应用层和会话层,可以用在TCP/IP协议之上,SMB使用TCP139端口和TCP445端口,SMB使用了NetBIOS的API。等我学会了再写吧…可以先参考如下文章MS08-067复现与简单分析漏洞考古:MS08-067详细分析
CVE-2020-9496
08-31
CVE-2020-9496Apache Ofbiz组件中的一个漏洞。根据引用和引用的内容,该漏洞被评级为高危,漏洞评分为8.0。这个漏洞的具体细节和复现可以参考引用中的文章。根据引用的内容,该漏洞是通过利用Apache Ofbiz中的XMLRPC RCE漏洞来实现的。具体的复现过程可以参考引用中提供的文章。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [CVE-2020-9496 Apache OFBiz XML-RPC反序列化漏洞复现](https://blog.csdn.net/Shadow_DAI_990101/article/details/126490894)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *3* [CVE-2020-9496Apache Ofbiz 反序列化漏洞分析](https://blog.csdn.net/weixin_45728976/article/details/108872281)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值