CVE-2021-26295：Apache OFBiz反序列化漏洞复现

文章来源：Timeline Sec0x01 简介Apache OFBiz 是用于企业流程自动化的开源产品，包括 ERP（企业资源规划）、CRM（客户关系管理）、电子商务/电子商务、SCM（供应链管理）、MRP（制造资源规划）、MMS / EAM（维护管理系统/企业资产管理）的框架组件和业务应用。0x02 漏洞概述近日，Apache OFBiz官方发布安全更新Apache OFBiz存在RMI反序列化前台命令执行，未经身份验证的攻击者可以使用此漏洞来成功接管Apache OFBiz。0x03 影响版本Apache OFBiz 0x04 环境搭建环境搭建采用docker搭建，比较方便docker run -d -p 811:8080 -p 8443:8443 opensourceknight/ofbiz网址 https://your_ip:8443 能正常访问即说明环境搭建成功0x05 漏洞复现使用的工具和脚本：java反序列利用工具ysoserial-0.0.6-SNAPSHOT-all.jarstr_hex.py#!/usr/bin/python#condin ………………………………