【漏洞复现】Apache OFBiz系统存在ProgramExport命令执行漏洞

我吃饼干 2024-08-07 15:33

免责声明

1. 本文所涉及的任何技术、信息或工具，仅供学习和参考之用。请勿利用本文提供的信息从事任何违法活动或不当行为。

2. 任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响，均由使用者个人承担责任，与本文作者无关。  

3. 作者不对任何因使用本文信息或工具而产生的损失或后果承担任何责任。 

4. 使用本文所提供的信息或工具即视为同意本免责声明，并承诺遵守相关法律法规和道德规范。

1

漏洞描述

Apache OFBiz是美国阿帕奇（Apache）基金会的一套企业资源计划（ERP）系统。该系统提供了一整套基于Java的Web应用程序组件和工具。Apache OFBiz 18.12.14及之前版本存在安全漏洞，该漏洞源于存在授权错误漏洞，从而导致未经身份验证的端点可执行屏幕渲染代码。

2

漏洞复现

首页

bp发包

3

网络测绘

app=”Apache_OFBiz”

4

漏洞POC

后台回复：240807

本文已同步至TNT文库

往期文章推荐

【资源分享】最新BurpSuite2024.7专业中英文开箱即用版下载

【技术分享】记一次从弱口令到多个getshell的渗透过程

【技术分享】记一次商城主动给我0元购资格的渗透记录

【技术分享】记一次从信息泄露到重置任意用户密码的渗透过程

项

目

承

接

团队中的师傅们都来自国内安全厂商在职的一线工程师，均具有良好的职业素养与丰富的从业经验。

渗透测试

Web渗透、APP渗透、小程序渗透、内网渗透

CTF

培训、竞赛、解题、AWD竞赛服务

考证

NISP考证、CISP考证

TNT文库

所有文章第一时间会发布在文库中，文库中的内容全部免费开放。

访问密码每周都会更换，最新访问密码请在公众号的菜单栏：
资源获取-漏洞文库中获取。

edusrc邀请码

免费不限量提供edusrc邀请码，请在公众号的菜单栏：
资源获取-edusrc邀请码中获取。

END

点个「在看」 我的零食分你一半