如何实现Apache Ofbiz 反序列化漏洞CVE-2020-9496分析

发布时间:2021-12-27 18:37:38 作者:柒染
来源:亿速云 阅读:178

本篇文章给大家分享的是有关如何实现Apache Ofbiz 反序列化漏洞CVE-2020-9496分析,小编觉得挺实用的,因此分享给大家学习,希望大家阅读完这篇文章后可以有所收获,话不多说,跟着小编一起来看看吧。

0x01 漏洞简述

2020年09月29日, 360CERT对Apache ofbiz组件的反序列化漏洞进行了分析,该漏洞编号为 CVE-2020-9496,漏洞等级:高危,漏洞评分:8.0

Apache ofbiz 存在 反序列化漏洞攻击者 通过 访问未授权接口,构造特定的xmlrpc http请求,可以造成 远程代码执行的影响

0x02 风险等级

360CERT对该漏洞的评定结果如下

评定方式等级
威胁等级高危
影响面一般
360CERT评分8.0分

0x03 影响版本

- Apache Ofbiz:< 17.12.04

0x04 漏洞详情

XML-RPC

XML-RPC是一种远程过程调用(RPC)协议,它使用XML对其调用进行编码,并使用HTTP作为传输机制。它是一种规范和一组实现,允许软件运行在不同的操作系统上,运行在不同的环境中,通过Internet进行过程调用。在XML-RPC中,客户端通过向实现XML-RPC并接收HTTP响应的服务器发送HTTP请求来执行RPC

Demo

客户端

package org.apache.xmlrpc.demo.client;


import java.net.URL;


import org.apache.xmlrpc.client.XmlRpcClient;
import org.apache.xmlrpc.client.XmlRpcClientConfigImpl;
import org.apache.xmlrpc.client.XmlRpcSunHttpTransportFactory;


public class Client {
   public static void main(String[] args) throws Exception {
       // 创建客户端实例
       XmlRpcClientConfigImpl config = new XmlRpcClientConfigImpl();
       config.setServerURL(new URL("http://127.0.0.1:8081/xmlrpc"));
       XmlRpcClient client = new XmlRpcClient();
       client.setConfig(config);
       // 设置传输工厂类
       client.setTransportFactory(new XmlRpcSunHttpTransportFactory(client));
       // 创建远程方法的参数数组,通过指定远程方法名称进行调用
       Object[] params = new Object[]{new Integer(33), new Integer(9)};
       Integer result = (Integer) client.execute("Calculator.add", params);
       System.out.println(result);
   }
}

或者客户端使用动态代理的方式,通过ClientFactory,需要客户端和服务端都要有Adder的接口,具体实现类在服务端。

但要使用XML-RPC的动态代理功能,相应的服务器端的处理器类名称必须是Client端接口类的全名(含包名,该名称一般应该与Server端接口类全名一致),否则将会导致调用失败。

public class Client_Proxy {
   public static void main(String[] args) throws MalformedURLException {
       XmlRpcClientConfigImpl config = new XmlRpcClientConfigImpl();
       config.setServerURL(new URL("http://127.0.0.1:8081/xmlrpc"));
       XmlRpcClient client = new XmlRpcClient();
       client.setConfig(config);
       ClientFactory factory = new ClientFactory(client);
       Adder adder = (Adder) factory.newInstance(Adder.class);
       int sum = adder.add(2, 4);
       System.out.println(sum);
   }
}

Adder接口

package org.apache.xmlrpc.demo.proxy;


public interface Adder {
   public int add(int pNum1, int pNum2);
}

服务端

package org.apache.xmlrpc.demo.webserver;


import org.apache.xmlrpc.server.PropertyHandlerMapping;
import org.apache.xmlrpc.server.XmlRpcServer;
import org.apache.xmlrpc.server.XmlRpcServerConfigImpl;
import org.apache.xmlrpc.webserver.WebServer;


public class Server {
   private static final int port = 8081;


   public static void main(String[] args) throws Exception {
       WebServer webServer = new WebServer(port);


       XmlRpcServer xmlRpcServer = webServer.getXmlRpcServer();


       PropertyHandlerMapping phm = new PropertyHandlerMapping();
       /* Load handler definitions from a property file.
        * The property file might look like:
        *   Calculator=org.apache.xmlrpc.demo.Calculator
        *   org.apache.xmlrpc.demo.proxy.Adder=org.apache.xmlrpc.demo.proxy.AdderImpl
        */
       phm.load(Thread.currentThread().getContextClassLoader(),
               "MyHandlers.properties");


       /* You may also provide the handler classes directly,
        * like this:
        * phm.addHandler("Calculator",
        *     org.apache.xmlrpc.demo.Calculator.class);
        * phm.addHandler(org.apache.xmlrpc.demo.proxy.Adder.class.getName(),
        *     org.apache.xmlrpc.demo.proxy.AdderImpl.class);
        */


       phm.addHandler("Calculator",
                    org.apache.xmlrpc.demo.Calculator.class);


       xmlRpcServer.setHandlerMapping(phm);


       XmlRpcServerConfigImpl serverConfig =
               (XmlRpcServerConfigImpl) xmlRpcServer.getConfig();
       serverConfig.setEnabledForExtensions(true);
       serverConfig.setContentLengthOptional(false);


       webServer.start();
   }
}

服务端调用类

package org.apache.xmlrpc.demo;


public class Calculator {
   public int add(int i1, int i2) {
       return i1 + i2;
   }
   public int subtract(int i1, int i2) {
       return i1 - i2;
   }
}

在服务端还需要创建一个MyHandlers.properties

启动服务端之后,运行客户端。

如何实现Apache Ofbiz 反序列化漏洞CVE-2020-9496分析

抓取流量。动态代理和普通的流量都是一样的。

如何实现Apache Ofbiz 反序列化漏洞CVE-2020-9496分析

客户端向/xmlrpc发了一个POST请求,请求的内容为:

<?xml version="1.0" encoding="UTF-8"?>
<methodCall>
   <methodName>Calculator.add</methodName>
   <params><param>
   <value>
       <i4>33</i4>
   </value>
   </param><param>
   <value>
       <i4>9</i4>
   </value>
   </param></params>
</methodCall>

每个XML-RPC请求都以XML元素<methodCall> </methodCall>开头。该元素包含单个子元素<methodName>xxx</methodName>。元素<methodName>包含子元素<params>,该子元素可以包含一个或多个<param>元素。 param XML元素可以包含许多数据类型。

服务端响应的内容为

<?xml version="1.0" encoding="UTF-8"?>
<methodResponse xmlns:ex="http://ws.apache.org/xmlrpc/namespaces/extensions">
   <params><param>
   <value>
       <i4>42</i4>
   </value>
   </param></params>
</methodResponse>

初始化RequestHandler

注:`ofbiz  17.12.03`版本的`commons-beanutils`依赖版本是`1.9.3`

在第一次加载ControlServlet的时候,会调用init进行初始化,此时会通过getRequestHandler来初始化RequestHandler

如何实现Apache Ofbiz 反序列化漏洞CVE-2020-9496分析

调用getControllerConfigURL方法,

如何实现Apache Ofbiz 反序列化漏洞CVE-2020-9496分析

该方法从配置文件/WEB-INF/controller.xml中获取定义好的请求映射的列表,这里会遍历所有webappcontroller.xml配置文件。

如何实现Apache Ofbiz 反序列化漏洞CVE-2020-9496分析

其中,定义xmlrpc的配置,没有设置对应的auth选项,默认为false,不需要身份验证,这也是之后修复的一个点。

<request-map uri="xmlrpc" track-serverhit="false" track-visit="false">
       <security https="false"/>
       <event type="xmlrpc"/>
       <response name="error" type="none"/>
       <response name="success" type="none"/>
   </request-map>

官方文档给出的配置文件的tag

如何实现Apache Ofbiz 反序列化漏洞CVE-2020-9496分析

然后实例化ViewFactoryEventFactory

如何实现Apache Ofbiz 反序列化漏洞CVE-2020-9496分析

先看实例化ViewFactory,会根据配置文件里的typeview属性中对应的值,遍历出所需要的Viewerhandler,并且进行init初始化。然后存入map

如何实现Apache Ofbiz 反序列化漏洞CVE-2020-9496分析

webtools下的配置文件就存在9type

如何实现Apache Ofbiz 反序列化漏洞CVE-2020-9496分析

接着实例化EventFactory,同样遍历出typeeventEventHandler,并进行init初始化,然后存入map

如何实现Apache Ofbiz 反序列化漏洞CVE-2020-9496分析如何实现Apache Ofbiz 反序列化漏洞CVE-2020-9496分析

然后把所有初始化的设置到servletContext里。

处理请求

根据公开的zdi文章,xml的执行是在webtools/control/xmlrpc,于是去/webtools/webapp/webtools/WEB-INF/web.xml中查看相关路由的处理。

<servlet-mapping>                              
   <servlet-name>ControlServlet</servlet-name>
   <url-pattern>/control/*</url-pattern>
</servlet-mapping>                            

请求/control下的资源都由ControlServlet来进行处理,是所有请求处理的核心。post请求也会由ControlServlet#doGet方法进行处理:

如何实现Apache Ofbiz 反序列化漏洞CVE-2020-9496分析

首先,调用getRequestHandler,因为已经初始化了,所以能够直接获取到。

如何实现Apache Ofbiz 反序列化漏洞CVE-2020-9496分析

接着往下走,是处理request请求的一些东西,然后调用requestHandler.doRequest方法 根据request请求获取当前请求的appname,这里是webtools,然后获取pathinfo也就是xmlrpc

如何实现Apache Ofbiz 反序列化漏洞CVE-2020-9496分析

然后根据pathinfoconfig里获取对应的配置,继续往下走,requestMap.event也就是之前根据配置所获取到的xmlrpc

如何实现Apache Ofbiz 反序列化漏洞CVE-2020-9496分析如何实现Apache Ofbiz 反序列化漏洞CVE-2020-9496分析

typepathinvoke都不为null,于是跟进runEvent。根据typeeventFactory中获取eventhandler

如何实现Apache Ofbiz 反序列化漏洞CVE-2020-9496分析

XmlRpcEventHandler的调用

然后调用eventHandler.invoke,这里我们的echo参数为null,于是调用execute方法。

如何实现Apache Ofbiz 反序列化漏洞CVE-2020-9496分析

跟入getRequest方法。

如何实现Apache Ofbiz 反序列化漏洞CVE-2020-9496分析

前几行是在为SAX解析做准备,设置了一个handlerXmlRpcRequestParser,结构如下:

如何实现Apache Ofbiz 反序列化漏洞CVE-2020-9496分析

主要的element解析发生在XmlRpcRequestParser里。

然后调用parse函数,正式进入http xml解析的流程。

如何实现Apache Ofbiz 反序列化漏洞CVE-2020-9496分析

XML解析

这里xml的解析主要采用SAX方式解析。SAX解析触发的事件有

startDocument:开始读取XML文档;
startElement:读取到了一个元素,例如<book>;
characters:读取到了字符;
endElement:读取到了一个结束的元素,例如</book>;
endDocument:读取XML文档结束。

整个scan流程主要发生在XMLDocumentFragmentScannerImpl#dispatch,之前的调用栈如下:

如何实现Apache Ofbiz 反序列化漏洞CVE-2020-9496分析

fScannerState用来标识当前该调用哪个方法来解析tag

如何实现Apache Ofbiz 反序列化漏洞CVE-2020-9496分析

刚开始解析的时候,state6

如何实现Apache Ofbiz 反序列化漏洞CVE-2020-9496分析

调用scanRootElementHook,用于扫描根元素,Resolvernull,于是进入else

如何实现Apache Ofbiz 反序列化漏洞CVE-2020-9496分析

接着在AbstractSAXParser#startElement,会调用ContentHandler.startElement,这个content是之前初始化的时候设置的,也就是XmlRpcRequestParser#startElement方法。

如何实现Apache Ofbiz 反序列化漏洞CVE-2020-9496分析

XmlRpcRequestParser#startElement函数里,支持解析methodCall,methodName,params,parma,value标签,如果不是,那么交给父类RecursiveTypeParserImpl做进一步处理。

如何实现Apache Ofbiz 反序列化漏洞CVE-2020-9496分析

判断到methodName会把inMethodName设置为true,之后,在dispatch根据state进入分支处理content,然后会调用XmlRpcRequestParser#characters,设置methodName属性。

如何实现Apache Ofbiz 反序列化漏洞CVE-2020-9496分析

下一个标签是结束标签</methodName>调用endElement,将inMethodName设置为false

如何实现Apache Ofbiz 反序列化漏洞CVE-2020-9496分析

value里标签的解析

如果解析到是value里的子标签,那么会调用startValueTag方法。

如何实现Apache Ofbiz 反序列化漏洞CVE-2020-9496分析

会设置inValueTag属性为true

如何实现Apache Ofbiz 反序列化漏洞CVE-2020-9496分析

后续,比如在解析serializable标签的时候,就会进入default分支。

如何实现Apache Ofbiz 反序列化漏洞CVE-2020-9496分析

RecursiveTypeParserImpl#startElement,刚开始typeParsernull

如何实现Apache Ofbiz 反序列化漏洞CVE-2020-9496分析

getParser方法里会根据标签从TypeFactoryImpl里去创建具体对应的Parser,并且,想要拿到第一个判断里的扩展Parser,还需要指定pURI

如何实现Apache Ofbiz 反序列化漏洞CVE-2020-9496分析如何实现Apache Ofbiz 反序列化漏洞CVE-2020-9496分析

我们poc里的value里的xml结构为:

<struct>
   <member>
   <name>test</name>
   <value>
       <serializable>
           {base64codehere}
       </serializable>
   </value>
   </member>
</struct>

于是首先实例化的是MapParser,于是XmlRpcRequestParsertypeParserMapParser.

如何实现Apache Ofbiz 反序列化漏洞CVE-2020-9496分析

还是先调用Parser.startDocument

如何实现Apache Ofbiz 反序列化漏洞CVE-2020-9496分析

接着调用其对应的startElement方法。

如何实现Apache Ofbiz 反序列化漏洞CVE-2020-9496分析

判断struct标签后,然后解析下一个标签member

如何实现Apache Ofbiz 反序列化漏洞CVE-2020-9496分析

重复之前的过程,XmlRpcRequestParser解析不了,交给RecursiveTypeParserImpl处理。但是此时typeParser已经不为null,于是直接调用MapParser#startElement进行处理。

如何实现Apache Ofbiz 反序列化漏洞CVE-2020-9496分析

第二个value标签

中间其他tag省略了,注意serializable标签之前还有一个value标签,但是不在XmlRpcRequestParser处理,因为此时level已经很大了,直接看到MapParservalue的处理

如何实现Apache Ofbiz 反序列化漏洞CVE-2020-9496分析

调用startValueTag,重新将typeParser设置为null,但是这里设置的是MapParsertypeParser,这一步很关键,typeParsernull才能重新获取parser

如何实现Apache Ofbiz 反序列化漏洞CVE-2020-9496分析

serializable标签

在解析serializable的时候,XmlRpcRequestParsertypeParser依然是MapParser,但是在MapParser里处理不了serializable标签,此时再交给RecursiveTypeParserImpl,这时获取到的就是MapParsertypeParser,因为之前被设置为null,所以重新获取Parser,而这时解析到serializable标签,于是getParser返回为SerializableParser

如何实现Apache Ofbiz 反序列化漏洞CVE-2020-9496分析

SerializableParser继承ByteArrayParser,没有startElement方法,于是调用父类ByteArrayParser,设置OutputStream,且解码输入流。

如何实现Apache Ofbiz 反序列化漏洞CVE-2020-9496分析

接着处理</serializable>Serializable#endElementsetResultresult赋值。

如何实现Apache Ofbiz 反序列化漏洞CVE-2020-9496分析

接着是处理</value>,在MapParser#endElement

如何实现Apache Ofbiz 反序列化漏洞CVE-2020-9496分析

跟入endValueTag,typeParserSerializable

如何实现Apache Ofbiz 反序列化漏洞CVE-2020-9496分析

调用getResult,取出result并造成反序列化。

如何实现Apache Ofbiz 反序列化漏洞CVE-2020-9496分析

版本修复

Fixed: Apache OFBiz unsafe deserialization of XMLRPC arguments

https://github.com/apache/ofbiz-framework/commit/4bdfb54ffb6e05215dd826ca2902c3e31420287a#diff-b31806fbf9690361ad449e8f263345d8

如何实现Apache Ofbiz 反序列化漏洞CVE-2020-9496分析

直接在controller.xml配置xmlrpc需要授权访问。

xmlrpc 本身是支持对序列化数据的反序列化的,而问题就出现在ofbiz没有对xmlrpc接口的访问做权限的控制,同时版本较低的情况下又存在能够被反序列化所利用的依赖。

以上就是如何实现Apache Ofbiz 反序列化漏洞CVE-2020-9496分析,小编相信有部分知识点可能是我们日常工作会见到或用到的。希望你能通过这篇文章学到更多知识。更多详情敬请关注亿速云行业资讯频道。

推荐阅读:
  1. Apache Avro 序列化与反序列化 (Java 实现)
  2. Java中怎么实现反序列化漏洞

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

上一篇:如何进行GitLab任意文件读取漏洞CVE-2020-10977的分析

下一篇:怎样进行工业交换机漏洞CVE-2018-10731的分析

相关阅读

您好,登录后才能下订单哦!

密码登录
登录注册
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》