专栏名称: 红队蓝军
一群热爱网络安全的人,知其黑,守其白。不限于红蓝对抗,web,内网,二进制。
今天看啥  ›  专栏  ›  红队蓝军

Apache Ofbiz漏洞合集

红队蓝军  · 公众号  ·  · 2024-09-04 18:00
    

文章预览

Apache Ofbiz XMLRPC RCE漏洞(CVE-2020-9496) 1、漏洞概述 Apache ofbiz 存在反序列化漏洞,攻击者 通过 访问未授权接口,构造特定的xmlrpc http请求,攻击者利用这个漏洞可以在目标服务器上执行任意命令。 2、影响版本 Apache Ofbiz: < 17.12.04 3、漏洞详情 XML-RPC是一种远程过程调用(RPC)协议,它使用XML对其调用进行编码,并使用HTTP作为传输机制。通过Internet进行过程调用。在XML-RPC中,客户端通过向实现XML-RPC并接收HTTP响应的服务器发送HTTP请求来执行RPC。 4、漏洞复现 1、配置java环境 下载JDK https://www.oracle.com/java/technologies/javase/javase-jdk8-downloads.html 创建文件夹,并将下载好的jdk8进行解压 mkdir /opt/java tar zxvf jdk-8u251-linux-x64.tar.gz -C /opt/java 在/etc/profile中添加环境变量 export  JAVA_HOME=/opt/java/ jdk1.8.0_141 export  CLASSPATH=.: ${JAVA_HOME} /lib: ${JRE_HOME} /lib 生效 source  /etc/profile ………………………………

原文地址:访问原文地址
快照地址: 访问文章快照
总结与预览地址:访问总结与预览