CVE-2021-21351-Stream 反序列化命令执行漏洞复现

最新推荐文章于 2023-11-27 09:26:58 发布
最新推荐文章于 2023-11-27 09:26:58 发布
阅读量645 收藏
点赞数
文章标签: 网络安全 信息安全 安全漏洞 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_59086772/article/details/121672745
版权
本文介绍了XStream的CVE-2021-21351漏洞,该漏洞由于黑名单机制缺陷导致命令执行风险。文章详细阐述了漏洞概述、影响范围、环境搭建、漏洞复现过程,并提供了修复建议,包括使用白名单、注册转换器和更新XStream版本。同时,提醒读者技术交流应遵守网络安全法律法规。
摘要由CSDN通过智能技术生成

今天雨笋教育小编给大家介绍,XStream是一个简单易用的开源java类库,在解析XML文本时使用黑名单机制来防御反序列化漏洞,但之前的版本黑名单存在缺陷所以造成反序列化命令执行错误,下午具体来看一下复现过程吧。

0x00简介

XStream是一个轻量级、简单易用的开源Java类库,

它主要用于将对象序列化成XML(JSON)或反序列化为对象。

0x01漏洞概述

XStream 在解析XML文本时使用黑名单机制来防御反序列化漏洞,

但是其 1.4.15 及之前版本黑名单存在缺陷,

攻击者可利用javax.naming.ldap.Rdn$RdnEntry

及javax.sql.rowset.BaseRowSet构造JNDI注入,进而执行任意命令。

0x02影响范围

Xstream<=1.4.15

0x03环境搭建

文件:docker-compose.yml

version: '2'

services:

web:

image: vulhub/xstream:1.4.15

ports:

- "8080:8080"

命令:docker-compose up -d

环境启动后,

访问 http://your-ip:8080 ,

发送

最低0.47元/天 解锁文章
雨笋教育
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CVE-2021-21972:CVE-2021-21972漏洞利用
03-04
CVE-2021-21972 CVE-2021-21972工作于VMware-VCSA-all-6.7.0-8217866,VMware-VIM-all-6.7.0-8217866 :heavy_check_mark: VMware-VCSA-all-6.5.0-16613358 :heavy_check_mark:对于vCenter6.7 U2 + vCenter 6.7U2 +在...
XStream 反序列化远程命令执行漏洞复现(CVE-2021-21351)
weixin_43223153的博客
03-30 5715
XStream 反序列化远程命令执行漏洞复现 1. 漏洞影响版本 XStream <= 1.4.15 2. 环境搭建 安装漏洞靶场vulhub git clone git://github.com/vulhub/vulhub.git 3. 漏洞复现 1 进入到漏洞环境文件夹,启动漏洞环境。 cd /vulhub/xstream/CVE-2021-21351 docker-compose up -d 2 启动好之后,访问靶机的ip加8080端口 3 下载JNDI注入利用工具: 下载地址:https
CVE-2021-21351 XStream反序列化远程代码执行漏洞
m0_56642842的博客
08-13 2640
0x00 简介 XStream是Java类库,用来将对象序列化成XML (JSON)或反序列化为对象。XStream是自由软件,可以在BSD许可证的许可下分发。它是一种OXMapping 技术,是用来处理XML文件序列化的框架在将javaBean序列化,或将XML文件反序列化的时候,不需要其它辅助类和映射文件,使得XML序列化不再繁琐。 0x01 漏洞概述 在 1.4.16 版本之前的 XStream 中,存在一个漏洞,允许远程攻击者仅通过操纵处理后的输入流,解组时处理的流包含类型信息以重新创建以前编写的对
xstream-cve_2021_21351反序列化漏洞复现
whj_study的博客
01-19 3003
# 漏洞名称: xstream-cve_2021_21351 ## 漏洞简介 * Stream是Java类库,用来将对象序列化成XML (JSON)或反序列化为对象。XStream是自由软件,可以在BSD许可证的许可下分发。它是一种OXMapping 技术,是用来处理XML文件序列化的框架在将javaBean序列化,或将XML文件反序列化的时候,不需要其它辅助类和映射文件,使得XML序列化不再繁琐。在 1.4.16 版本之前的 XStream 中,存在一个漏洞,允许远程攻击者仅通过操纵处理后的输入流,解
XStream 反序列化命令执行漏洞CVE-2021-21351
EC_Carrot的博客
08-21 1115
漏洞简介 XStream是一个轻量级、简单易用的开源Java类库,它主要用于将对象序列化成XML(JSON)或反序列化为对象。 XStream 在解析XML文本时使用黑名单机制来防御反序列化漏洞,但是其 1.4.15 及之前版本黑名单存在缺陷,攻击者可利用javax.naming.ldap.Rdn$RdnEntry及javax.sql.rowset.BaseRowSet构造JNDI注入,进而执行任意命令漏洞复现 由于目标环境Java版本高于8u191,所以我们需要使用org.apache.naming.
XStream 反序列化命令执行漏洞复现CVE-2021-21351
Vitaminapple的博客
04-19 558
XStream是一个轻量级、简单易用的开源Java类库,它主要用于将对象序列化成XML(JSON)或反序列化为对象。XStream 在解析XML文本时使用黑名单机制来防御反序列化漏洞,但是其 1.4.15 及之前版本黑名单存在缺陷,攻击者可利用javax.naming.ldap.Rdn$RdnEntry及javax.sql.rowset.BaseRowSet构造JNDI注入,进而执行任意命令
XStream 高危漏洞合集,XStream 组件反序列化漏洞
最新发布
weixin_45314962的博客
11-27 2242
CVE-2021-29505反序列化代码执行漏洞
CVE-2021-21975:Nmap脚本检查漏洞CVE-2021-21975
04-06
CVE-2021-21975 Nmap脚本检查漏洞CVE-2021-21975 漏洞参考: 博客 例子 nmap -p443 --script cve-2021-21975.nse --script-args vulns.showall IP
CVE-2021-21315-PoC:CVE 2021-21315 PoC
03-03
CVE-2021-21315系统信息这是的概念证明,它影响到的系统信息库(npm程序包“ systeminformation”)。 “请务必检查或清理传递给si.inetLatency(),si.inetChecksite(),si.services(),si.processLoad()的...
vulhub漏洞复现75_XStream
weixin_44193247的博客
02-13 512
vulhub漏洞复现练习篇
java xstream组件反序列化漏洞复现
Shanfenglan's blog
12-16 2511
文章目录前言1. CVE-2021-213511.1 利用2. CVE-2021-295052.1 利用 前言 XStream是一个轻量级、简单易用的开源Java类库,它主要用于将对象序列化成XML(JSON)或反序列化为对象。 XStream 在解析XML文本时使用黑名单机制来防御反序列化漏洞,但是其 1.4.15 及之前版本黑名单存在缺陷,攻击者可利用javax.naming.ldap.Rdn_-RdnEntry及javax.sql.rowset.BaseRowSet构造JNDI注入,进而执行任意命令
Apache RocketMQ 远程命令执行漏洞CVE-2023-33246)vulhub漏洞复现
qq_53003652的博客
07-12 745
在其5.1.0版本及以前存在一处命令执行漏洞,攻击者通过向其更新配置相关的功能发送指令即可更新任意配置项,并通过配置项中存在的命令注入功能执行任意命令。在192.168.126.128开启nc启动监听,运行该poc。Apache RocketMQ是一个分布式消息平台。创建hacker文件成功。使用IDEA新建一个。
Git安全漏洞检查CVE-2021-21300
GitCode
03-16 2246
CVE-2021-21300 安全漏洞检查 本项目模拟一个利用CVE-2021-21300漏洞执行仓库内恶意脚本的行为,如果您的git客户端有 CVE-2021-21300 的安全漏洞执行 git clone 本仓库时会输出以下内容 CVE-2021-21300 detected !!! Please update your git to fix the vulnerability CVE-2021-21300 影响分析 由于对 symbolic links 处理的问题,导致在不区分大小写的文件系统例
CVE-2021-21975&CVE-2021-21983 VMware vRealize SSRF、任意文件上传漏洞分析
爱国小白帽
04-13 984
报告编号:B6-2021-041303 报告来源:360CERT 报告作者:ghtwf01 更新日期:2021-04-13 0x01 漏洞概述 VMware vRealize Operations 可在由 AI 提供支持的统一平台中针对私有云、混合云和多云环境提供自动配置 IT 运维管理套件。 本次安全更新修复了一处服务端请求伪造漏洞,一处任意文件上传漏洞。未经身份验证的攻击者通过访问特定的api传入恶意数据,最终在目标服务器上触发漏洞。 0x02 漏洞分析 CVE-2021-21975 位于casa.
XStream 多个高危漏洞通告
爱国小白帽
03-16 1704
报告编号:B6-2021-031502 报告来源:360CERT 报告作者:360CERT 更新日期:2021-03-15 0x01事件简述 2021年03月15日,360CERT监测发现Xstream官方发布了Xstream 安全更新,漏洞等级:高危,漏洞评分:8.8。 POC已经在官网公开 对此,360CERT建议广大用户及时将Xstream升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。 0x02风险等级 360CERT对该事件的评定结果如下 评定方式 等级 .
cve-2021-21985漏洞复现
whojoe的博客
06-09 6515
cve-2021-21985漏洞复现受影响的版本:漏洞复现后续利用参考文章 受影响的版本: VMware vCenter Server 7.0系列 < 7.0.U2b VMware vCenter Server 6.7系列 < 6.7.U3n VMware vCenter Server 6.5系列 < 6.5 U3p VMware Cloud Foundation 4.x 系列 < 4.2.1 VMware Cloud Foundation 4.x 系列 < 3.10.2.1
CVE-2021-21315漏洞复现-kali2020.4
weixin_43867542的博客
07-19 1307
漏洞名称:systeminformation 操作系统命令注入漏洞 等级危害:高危 CVSS评分:7.8 漏洞类型:操作系统命令注入 漏洞概述 systeminformation中存在操作系统命令注入漏洞,该漏洞源于外部输入数据构造操作系统可执行命令过程中,网络系统或产品未正确过滤其中的特殊字符、命令等。攻击者可利用该漏洞执行非法操作系统命令。 受影响版本 systeminformation < 5.3.1 环境概述 kali2020.4 漏洞复现 1.准备工作 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值