[[344961]]

 漏洞分析
Apache OFBiz是一個開源的企業(yè)資源規(guī)劃（ERP）系統(tǒng)，它提供了一系列企業(yè)應(yīng)用程序來幫助企業(yè)自動化實(shí)現(xiàn)很多業(yè)務(wù)流程。它包含了一個能提供常見數(shù)據(jù)模型和業(yè)務(wù)進(jìn)程的框架，企業(yè)內(nèi)所有的應(yīng)用程序都需要采用這個框架來使用常見數(shù)據(jù)、邏輯和業(yè)務(wù)處理組件。除了框架本身之外，Apache OFBiz還提供了包括會計(jì)（合同協(xié)議、票據(jù)、供應(yīng)商管理、總賬）、資產(chǎn)維護(hù)、項(xiàng)目分類、產(chǎn)品管理、設(shè)備管理、倉庫管理系統(tǒng)（WMS）、制造執(zhí)行/制造運(yùn)營管理（MES/MOM）和訂單處理等功能，除此之外，還實(shí)現(xiàn)了庫存管理、自動庫存補(bǔ)充、內(nèi)容管理系統(tǒng)（CMS）、人力資源（HR）、人員和團(tuán)隊(duì)管理、項(xiàng)目管理、銷售人員自動化、工作量管理、電子銷售點(diǎn)（ePOS）、電子商務(wù)（電子商務(wù)）和scrum（開發(fā)）等多種功能。

Apache OFBiz使用了一系列開源技術(shù)和標(biāo)準(zhǔn)，比如Java、JavaEE、XML和SOAP。

超文本傳輸協(xié)議是一種請求/響應(yīng)協(xié)議，該協(xié)議在 RFC 7230-7237中有詳細(xì)描述。請求由客戶端設(shè)備發(fā)送至服務(wù)器，服務(wù)器接收并處理請求后，會將響應(yīng)發(fā)送回客戶端。一個HTTP請求由請求內(nèi)容、各種Header、空行和可選消息體組成：

Request = Request-Line headers CRLF [message-body] 
 
Request-Line = Method SP Request-URI SP HTTP-Version CRLF 
 
Headers = *[Header] 
 
Header = Field-Name “:” Field-Value CRLF 

CRLF代表新的行序列回車符（CR），后跟換行符（LF），SP表示空格字符。參數(shù)將以鍵值對的形式通過Request- URI或message-body由客戶端傳遞給服務(wù)器，具體將取決于Method和Content-Type頭中定義的參數(shù)。比如說在下面的HTTP請求樣本中，有一個名為“param”的參數(shù)，其值為“1”，使用的是POST方法：

POST /my_webapp/mypage.htm HTTP/1.1 
 
Host: www.myhost.com 
 
Content-Type: application/x-www-form-urlencoded 
 
Content-Length: 7 
 
  
 
param=1 

Java序列化
Java支持對對象進(jìn)行序列化操作，使它們額能夠被表示為緊湊和可移植的字節(jié)流，然后可以通過網(wǎng)絡(luò)傳輸這個字節(jié)流，并將其反序列化以供接收的servlet或applet使用。下面的示例演示了如何將一個類進(jìn)行序列化并在隨后提取數(shù)據(jù)：

public static void main(String args[]) throws Exception{ 
 
   //This is the object we're going to serialize. 
 
   MyObject1 myObj = new MyObject1(); 
 
   MyObject2 myObj2 = new MyObject2(); 
 
   myObj2.name = "calc"; 
 
   myObj.test = myObj2; 
 
  
 
   //We'll write the serialized data to a file "object.ser" 
 
   FileOutputStream fos = new FileOutputStream("object.ser"); 
 
   ObjectOutputStream os = new ObjectOutputStream(fos); 
 
   os.writeObject(myObj); 
 
   os.close(); 
 
  
 
   //Read the serialized data back in from the file "object.ser" 
 
   FileInputStream fis = new FileInputStream("object.ser"); 
 
   ObjectInputStream ois = new ObjectInputStream(fis); 
 
  
 
   //Read the object from the data stream, and convert it back to a String 
 
   MyObject1 objectFromDisk = (MyObject1)ois.readObject(); 
 
   ois.close(); 
 
} 

所有的Java對象都需要通過Serializable或Externalizable接口來進(jìn)行序列化，這個接口實(shí)現(xiàn)了writeObject()/writeExternal()和readObject()/readExternal()方法，它們會在對象序列化或反序列化時被調(diào)用。這些方法能夠在序列化和反序列化過程中通過修改代碼來實(shí)現(xiàn)自定義行為。

XML-RPC
XML-RPC是一個遠(yuǎn)程過程調(diào)用（RPC）協(xié)議，它使用XML對其調(diào)用進(jìn)行編碼，并使用HTTP作為傳輸機(jī)制。它是一種標(biāo)準(zhǔn)規(guī)范，并提供了現(xiàn)成的實(shí)現(xiàn)方式，允許運(yùn)行在不同的操作系統(tǒng)和環(huán)境中。在在XML-RPC中，客戶機(jī)通過向?qū)崿F(xiàn)XML-RPC并接收HTTP響應(yīng)的服務(wù)器發(fā)送HTTP請求來執(zhí)行RPC。

每個XML-RPC請求都以XML元素“<methodCall></methodCall>”開頭。此元素包含一個子元素“<methodName>something</methodName>”。元素“<methodName>”包含子元素“<params>”，該子元素可以包含一個或多個“<param>”元素。param XML元素可以包含許多數(shù)據(jù)類型。

如下樣例所示，常見的數(shù)據(jù)類型可以被轉(zhuǎn)換成對應(yīng)的XML類型：

<array> 
 
  <data> 
 
    <value><i4>1404</i4></value> 
 
    <value><string>Something here</string></value> 
 
    <value><i4>1</i4></value> 
 
  </data> 
 
</array> 

各種原語的編碼示例如下：

<boolean>1</boolean> 
 
<double>-12.53</double> 
 
<int>42</int> 

字符串的編碼示例如下：

<string>Hello world!</string> 

對結(jié)構(gòu)體的編碼示例如下：

<struct> 
 
  <member> 
 
    <name>foo</name> 
 
    <value><i4>1</i4></value> 
 
  </member> 
 
  <member> 
 
    <name>bar</name> 
 
    <value><i4>2</i4></value> 
 
  </member> 
 
</struct> 

序列化數(shù)據(jù)由””和””XML元素包裹來表示，在Apache OFBiz中，序列化代碼在org.apache.xmlrpc.parser.SerializableParser這個Java類中實(shí)現(xiàn)。

但是，Apache OFBiz中存在一個不安全的反序列化漏洞，這個漏洞是由于OFBiz被配置為在發(fā)送到“/webtools/control/xmlrpc”URL時使用XML-RPC攔截和轉(zhuǎn)換HTTP主體中的XML數(shù)據(jù)所導(dǎo)致的。發(fā)送到此端點(diǎn)的請求最初由org.apache.ofbiz.webapp.control.RequestHandler這個Java類來處理，它確定的URL的映射方式。接下來，org.apache.ofbiz.webapp.event.XmlRpcEventHandler類將調(diào)用execute()方法，XML解析首先需要通過XMLReader類來調(diào)用parse()方法，而這個方法需要在org.apache.ofbiz.webapp.event.XmlRpcEventHandler類的getRequest()方法中調(diào)用。

XML-RPC請求中的元素將會在下列類中被解析：

org.apache.xmlrpc.parser.XmlRpcRequestParser 
 
org.apache.xmlrpc.parser.RecursiveTypeParserImpl 
 
org.apache.xmlrpc.parser.MapParser 

不安全的序列化問題存在于org.apache.xmlrpc.parser.SerializableParser類的getResult()方法之中。一個未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者可以利用該漏洞來發(fā)送包含了定制XML Payload的惡意HTTP請求。由于OFBiz使用了存在漏洞的Apache Commons BeanUtils庫和Apache ROME庫，攻擊者將能夠使用ysoserial工具以XML格式來構(gòu)建惡意Payload。該漏洞的成功利用將導(dǎo)致攻擊者在目標(biāo)應(yīng)用程序中實(shí)現(xiàn)任意代碼執(zhí)行。

源代碼分析
下列代碼段取自Apache OFBiz v17.12.03版本，并添加了相應(yīng)的注釋。

org.apache.ofbiz.webapp.control.RequestHandler：

public void doRequest(HttpServletRequest request, HttpServletResponse response, String chain, 
 
GenericValue userLogin, Delegator delegator) throws RequestHandlerException, 
 
RequestHandlerExceptionAllowExternalRequests { 
 
    ConfigXMLReader.RequestResponse eventReturnBasedRequestResponse; 
 
    if (!this.hostHeadersAllowed.contains(request.getServerName())) { 
 
      Debug.logError("Domain " + request.getServerName() + " not accepted to prevent host header injection ", module); 
 
      throw new RequestHandlerException("Domain " + request.getServerName() + " not accepted to prevent host header injection "); 
 
    }   
 
    boolean throwRequestHandlerExceptionOnMissingLocalRequest = EntityUtilProperties.propertyValueEqualsIgnoreCase("requestHandler", "throwRequestHandlerExceptionOnMissingLocalRequest", "Y", delegator); 
 
    long startTime = System.currentTimeMillis(); 
 
    HttpSession session = request.getSession(); 
 
    ConfigXMLReader.ControllerConfig controllerConfig = getControllerConfig(); 
 
    Map<String, ConfigXMLReader.RequestMap> requestMapMap = null; 
 
    String statusCodeString = null; 
 
    try { 
 
      requestMapMap = controllerConfig.getRequestMapMap(); 
 
      statusCodeString = controllerConfig.getStatusCode(); 
 
    } catch (WebAppConfigurationException e) { 
 
      Debug.logError((Throwable)e, "Exception thrown while parsing controller.xml file: ", module); 
 
      throw new RequestHandlerException(e); 
 
    } 
 
    if (UtilValidate.isEmpty(statusCodeString)) 
 
      statusCodeString = this.defaultStatusCodeString; 
 
    String cname = UtilHttp.getApplicationName(request); 
 
    String defaultRequestUri = getRequestUri(request.getPathInfo()); 
 
    if (request.getAttribute("targetRequestUri") == null) 
 
      if (request.getSession().getAttribute("_PREVIOUS_REQUEST_") != null) { 
 
        request.setAttribute("targetRequestUri", request.getSession().getAttribute("_PREVIOUS_REQUEST_")); 

org.apache.ofbiz.webapp.event.XmlRpcEventHandler：

public void execute(XmlRpcStreamRequestConfig pConfig, ServerStreamConnection pConnection) throws XmlRpcException { 
 
    try { 
 
        ByteArrayOutputStream baos; 
 
        OutputStream initialStream; 
 
        Object result = null; 
 
        boolean foundError = false; 
 
        try (InputStream istream = getInputStream(pConfig, pConnection)) { 
 
            XmlRpcRequest request = getRequest(pConfig, istream); 
 
            result = execute(request); 
 
        } catch (Exception e) { 
 
            Debug.logError(e, module); 
 
            foundError = true; 
 
        } 
 
        if (isContentLengthRequired(pConfig)) { 
 
            baos = new ByteArrayOutputStream(); 
 
            initialStream = baos; 
 
        } else { 
 
            baos = null; 
 
            initialStream = pConnection.newOutputStream(); 
 
        }   
 
        try (OutputStream ostream = getOutputStream(pConnection, pConfig, initialStream)) { 
 
            if (!foundError) { 
 
                writeResponse(pConfig, ostream, result); 
 
            } else { 
 
                writeError(pConfig, ostream, new Exception("Failed to read XML-RPC request. Please check logs for more information")); 
 
            } 
 
        } 
 
        if (baos != null) 
 
        try (OutputStream dest = getOutputStream(pConfig, pConnection, baos.size())) { 
 
            baos.writeTo(dest); 
 
        } 
 
        pConnection.close(); 
 
        pConnection = null; 
 
    } catch (IOException e) { 
 
        throw new XmlRpcException("I/O error while processing request: " + e.getMessage(), e); 
 
    } finally { 
 
        if (pConnection != null) 
 
        try { 
 
            pConnection.close(); 
 
        } catch (IOException e) { 
 
            Debug.logError(e, "Unable to close stream connection"); 
 
        } 
 
    } 
 
} 
 
  
 
protected XmlRpcRequest getRequest(final XmlRpcStreamRequestConfig pConfig, InputStream pStream) throws XmlRpcException { 
 
    final XmlRpcRequestParser parser = 
 
    new XmlRpcRequestParser((XmlRpcStreamConfig)pConfig, getTypeFactory()); 
 
    XMLReader xr = SAXParsers.newXMLReader(); 
 
    xr.setContentHandler((ContentHandler)parser); 
 
    try { 
 
        xr.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true); 
 
        xr.setFeature("http://apache.org/xml/features/nonvalidating/load-external-dtd", false); 
 
        xr.setFeature("http://xml.org/sax/features/external-general-entities", false); 
 
        xr.setFeature("http://xml.org/sax/features/external-parameter-entities", false); 
 
        //the parsing of XML in the HTTP body starts in this function 
 
        xr.parse(new InputSource(pStream)); 
 
        //truncated 
 
    } 
 
} 

org.apache.xmlrpc.parser.XmlRpcRequestParser：

public void endElement(String pURI, String pLocalName, String pQName) throws SAXException { 
 
    //XML-RPC parsing happens here 
 
    switch(--level) { 
 
        case 0: 
 
            break; 
 
        case 1: 
 
            if (inMethodName) { 
 
                if ("".equals(pURI) && "methodName".equals(pLocalName)) { 
 
                    if (methodName == null) { 
 
                        methodName = ""; 
 
                        } 
 
                    } else { 
 
                        throw new SAXParseException("Expected /methodName, got " + new QName(pURI, pLocalName), getDocumentLocator()); 
 
                        }   
 
                    inMethodName = false; 
 
                } else if (!"".equals(pURI) || !"params".equals(pLocalName)) { 
 
                    throw new SAXParseException("Expected /params, got " + new QName(pURI, pLocalName), getDocumentLocator()); 
 
                } 
 
                break; 
 
            case 2: 
 
                if (!"".equals(pURI) || !"param".equals(pLocalName)) { 
 
                    throw new SAXParseException("Expected /param, got " + new QName(pURI, pLocalName), getDocumentLocator()); 
 
                } 
 
                break; 
 
            case 3: 
 
                if (!"".equals(pURI) || !"value".equals(pLocalName)) { 
 
                    throw new SAXParseException("Expected /value, got " + new QName(pURI, pLocalName), getDocumentLocator()); 
 
                } 
 
                endValueTag(); 
 
                break; 
 
            default: 
 
                super.endElement(pURI, pLocalName, pQName); 
 
                break; 
 
         }   
 
} 

org.apache.xmlrpc.parser.SerializableParser：

public class SerializableParser extends ByteArrayParser { 
 
    public Object getResult() throws XmlRpcException { 
 
        try { 
 
            byte[] res = (byte[]) super.getResult(); 
 
            ByteArrayInputStream bais = new ByteArrayInputStream(res); 
 
            ObjectInputStream ois = new ObjectInputStream(bais); 
 
     
 
            //insecure deserialization happens here 
 
            return ois.readObject(); 
 
        } catch (IOException e) { 
 
            throw new XmlRpcException("Failed to read result object: " + e.getMessage(), e); 
 
        } catch (ClassNotFoundException e) { 
 
            throw new XmlRpcException("Failed to load class for result object: " + e.getMessage(), e); 
 
        } 
 
    }   
 
} 

為了觸發(fā)該漏洞，攻擊者需要以XML格式在HTTP請求中攜帶定制的序列化對象，并發(fā)送給存在漏洞的目標(biāo)應(yīng)用程序，當(dāng)服務(wù)器端在序列化XML數(shù)據(jù)時，便會觸發(fā)該漏洞。