Apache OFBiz 身份验证绕过远程代码执行漏洞分析-安全与开发的精彩对抗【附POC】

产品简介

       OFBiz是一个非常著名的电子商务平台，是一个非常著名的开源项目，提供了创建基于最新J2EE/XML规范和技术标准，构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。OFBiz最主要的特点是OFBiz提供了一整套的开发基于Java的web应用程序的组件和工具。包括实体引擎, 服务引擎, 消息引擎, 工作流引擎, 规则引擎等。

漏洞分析

   Apache OFBiz 身份验证绕过漏洞 (CVE-2023-51467)和Apache OFBiz 未授权远程代码执行漏洞(CVE-2023-49070),打法都一样。想看复现的直接拉到最后，只不过是官方正确修复了这个漏洞。

在将这个漏洞之前呢，其实这个接口之前是个未授权的rce。

https://blog.csdn.net/zkaqlaoniao/article/details/135085674

这篇文章已经讲的很明白了。

CVE-2020-9496的的修复方案就是给这个接口加上了鉴权。此时，问题出现了：

安全工程师：你这个加上授权就不是漏洞了？有授权命令执行！web应用权限直接提到服务器权限！

开发：这XX的，xmlrpc的问题，和我有什么关系？

大家看过罗x浩星巴克的片段吧？你就把安全工程师想象成星巴克服务员，开发想象成罗x浩(不恰当，多担待。):

    于是官方怎么修的呢？ 

    给xmlrpc这个接口加上过滤，谁来解析xmlrpc这个接口，就进入我的特殊匹配逻辑，胆敢有人序列化，我就直接干掉！

    于是：

这时候安全工程师又看出来问题了：

    你咋xx写的过滤？，我一个空格不就绕过你这个序列化匹配了吗？

于是：

于是匹配</serializabled>变成了匹配</serializabled

    几年之后，安全工程师又看出问题了：你这个鉴权有问题呀！你咋xx写的鉴权？我直接requirePasswordChange=Y直接给你绕过了，你也别鉴权了。

    安全工程师找到开发：你这里有个Apache OFBiz xmlrpc身份验证绕过漏洞

    开发：什么漏洞？

    安全工程师：你这里有个Apache OFBiz xmlrpc身份验证绕过漏洞

    开发：Apache OFBiz什么？

    安全工程师：你这里有个Apache OFBiz xmlrpc身份验证绕过漏洞

    开发：xmlrpc漏洞是吧？我不要了行不行？反正也没人用。

    于是，开发连夜愤怒删代码，把xmlrpc相关的都删除了，你们安全工程师也别叭叭了：

    于是，安全工程师又又又又看出问题了：

好好好，你们业务就XX这么修是吧？我说了，鉴权问题，鉴权问题！你xmlrpc用不了，我ping还有其他的还能用啊！

于是：

指纹识别

app="Apache_OFBiz"

漏洞验证

poc：

GET /webtools/control/ping?USERNAME&PASSWORD=mdtest&requirePasswordChange=Y HTTP/1.1Host: Upgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.0.0 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7Accept-Encoding: gzip, deflate, brAccept-Language: zh-CN,zh;q=0.9Connection: close

发送POC：

批量验证:

漏洞收录

漏洞已收录于团队内部漏洞库（建设于2019年），现已收集4000+实战漏洞

现仅供团队内部使用，每月随机抽取关注者加入社群交流学习。

回复关键字【POC】获取POC下载链接

点击下方名片进入公众号，欢迎关注！

点个小赞你最好看

原文始发于微信公众号（猫蛋儿安全）：Apache OFBiz 身份验证绕过远程代码执行漏洞分析-安全与开发的精彩对抗【附POC】