如何实现Apache OFBiz RMI反序列化漏洞CVE-2021-26295的复现

本篇文章为大家展示了如何实现Apache OFBiz RMI反序列化漏洞CVE-2021-26295的复现，内容简明扼要并且容易理解，绝对能使你眼前一亮，通过这篇文章的详细介绍希望你能有所收获。

01 漏洞概述

Apache OFBiz是一个电子商务平台，用于构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类应用系统。

近日，Apache OFBiz官方发布安全更新。Apache OFBiz 存在RMI反序列化前台命令执行，未经身份验证的攻击者可以使用此漏洞来成功接管Apache OFBiz，建议相关用户尽快测试漏洞修复的版本并及时升级。

02 影响范围

【漏洞等级】 严重

【漏洞编号】

CVE-2021-26295

【影响版本】

Apache OFBiz < 17.12.06

03 漏洞复现

（1）docker搭建漏洞环境

（2）DNSLOG平台Get SubDomain，用ysoserial的URLDNS利用链生成文件

java -jar ysoserial.jar URLDNS http://isnrvo.dnslog.cn > dns.ot

（3）使用python脚本将生成的文件解码转换成hex

（4）利用转换后的hex代码，构造数据包发送请求

（5）DNSLOG平台检验执行结果

可以看到，DNSLOG平台收到响应，服务器执行代码成功！

04 修复方案

建议广大用户及时检查相关软件版本（可打开[OFBIZ_HOME/README] 文件, 查找Welcome to Apache OFBiz xxxx字样信息确定版本），将Apacge OFBiz升级到最新版本。

【补丁信息】

补丁名称：Apache OFBiz 远程代码执行漏洞补丁

补丁链接：https://ofbiz.apache.org/download.html#vulnerabilities

上述内容就是如何实现Apache OFBiz RMI反序列化漏洞CVE-2021-26295的复现，你们学到知识或技能了吗？如果还想学到更多技能或者丰富自己的知识储备，欢迎关注行业资讯频道。