Apache Ofbiz漏洞合集

文章预览

Apache Ofbiz XMLRPC RCE漏洞（CVE-2020-9496） 1、漏洞概述 Apache ofbiz 存在反序列化漏洞，攻击者 通过 访问未授权接口，构造特定的xmlrpc http请求，攻击者利用这个漏洞可以在目标服务器上执行任意命令。 2、影响版本 Apache Ofbiz： < 17.12.04 3、漏洞详情 XML-RPC是一种远程过程调用(RPC)协议，它使用XML对其调用进行编码，并使用HTTP作为传输机制。通过Internet进行过程调用。在XML-RPC中，客户端通过向实现XML-RPC并接收HTTP响应的服务器发送HTTP请求来执行RPC。 4、漏洞复现 1、配置java环境 下载JDK https://www.oracle.com/java/technologies/javase/javase-jdk8-downloads.html 创建文件夹，并将下载好的jdk8进行解压 mkdir /opt/java tar zxvf jdk-8u251-linux-x64.tar.gz -C /opt/java 在/etc/profile中添加环境变量 export  JAVA_HOME=/opt/java/ jdk1.8.0_141 export  CLASSPATH=.: ${JAVA_HOME} /lib: ${JRE_HOME} /lib 生效 source  /etc/profile ………………………………