2024年10月29日00:30:02评论14 views字数 3689阅读12分17秒阅读模式

Apache OFBiz未授权命令执行浅析(CVE-2023-51467)

未修复的权限绕过

还是之前那个遗留的问题，首先是权限绕过，首先还是做一个简单的回顾关于登录的校验在org.apache.ofbiz.webapp.control.LoginWorker#checkLogin做处理来判断用户是否登录，可以看到这里的判断逻辑非常简单，跳过前两个判断，在后面只需要login返回的不是error，则为认证成功 Apache-OFBiz未授权命令执行浅析-CVE-2023-51467

再来看看login的判断，在这里如果unPwErrMsglist不为null则可以直接返回requirePasswordChange Apache-OFBiz未授权命令执行浅析-CVE-2023-51467

因此知道这个其实你就可以去后台点一点就知道哪里能RCE了，但是我比较好奇OFBiz的路由处理，为什么最后能调用到ProgramExport.groovy

路由处理以及解惑

在web.xml当中可以看到仅有一个Servlet处理，继续跟入org.apache.ofbiz.webapp.control.ControlServlet Apache-OFBiz未授权命令执行浅析-CVE-2023-51467

以doGET为例，忽略一些无关的逻辑，最终都是通过handler.doRequest做请求的处理

在这里我们先看看handler的获取处理，首先在servlet的初始化过程就进行了初始化操作

123456789101112

@Overridepublic void init() throws ServletException {    ServletContext ctx = getServletContext();    if (Debug.infoOn()) {        String path = ctx.getContextPath();        String webappName = path.isEmpty() ? path : path.substring(1);        Debug.logInfo("Loading webapp [" + webappName + "], located at " + ctx.getRealPath("/"), module);    }    // Initialize the request handler.    RequestHandler.getRequestHandler(ctx);}

可以看到代码虽然不少，但其实就是从/WEB-INF/controller.xml下获取了路由的配置，并根据配置文件初始化了两个工厂类ViewFactory/EventFactory

123456789101112131415161718192021222324252627282930313233343536373839404142

public static RequestHandler getRequestHandler(ServletContext servletContext) {    RequestHandler rh = (RequestHandler) servletContext.getAttribute("_REQUEST_HANDLER_");    if (rh == null) {        rh = new RequestHandler(servletContext);        servletContext.setAttribute("_REQUEST_HANDLER_", rh);    }    return rh;}private RequestHandler(ServletContext context) {    // init the ControllerConfig, but don't save it anywhere, just load it into the cache    this.controllerConfigURL = ConfigXMLReader.getControllerConfigURL(context);    try {        ConfigXMLReader.getControllerConfig(this.controllerConfigURL);    } catch (WebAppConfigurationException e) {        // FIXME: controller.xml errors should throw an exception.        Debug.logError(e, "Exception thrown while parsing controller.xml file: ", module);    }    this.viewFactory = new ViewFactory(context, this.controllerConfigURL);    this.eventFactory = new EventFactory(context, this.controllerConfigURL);    this.trackServerHit = !"false".equalsIgnoreCase(context.getInitParameter("track-serverhit"));    this.trackVisit = !"false".equalsIgnoreCase(context.getInitParameter("track-visit"));    hostHeadersAllowed = UtilMisc.getHostHeadersAllowed();}public static ControllerConfig getControllerConfig(WebappInfo webAppInfo) throws WebAppConfigurationException, MalformedURLException {    Assert.notNull("webAppInfo", webAppInfo);    String filePath = webAppInfo.getLocation().concat(controllerXmlFileName);    File configFile = new File(filePath);    return getControllerConfig(configFile.toURI().toURL());}public static ControllerConfig getControllerConfig(URL url) throws WebAppConfigurationException {    ControllerConfig controllerConfig = controllerCache.get(url);    if (controllerConfig == null) {        controllerConfig = controllerCache.putIfAbsentAndGet(url, new ControllerConfig(url));    }    return controllerConfig;}