XStream CVE-2019-10173漏洞分析

最新推荐文章于 2025-03-20 11:00:43 发布
原创 最新推荐文章于 2025-03-20 11:00:43 发布 · 4.9k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细分析了XStream库中的CVE-2013-7285漏洞修复及绕过的全过程,通过对比不同版本的XStream,展示了如何利用未初始化的安全框架重现此漏洞。

前言

首发NOSEC

该漏洞为CVE-2013-7285的补丁“绕过”。

这是一个很迷的洞,POC与CVE-2013-7285一毛一样,该Poc在XStream <=1.4.6和1.4.10上可用,也就是说开始修复的漏洞后来又出现了。

**吐句槽:**漏洞修复的版本在为1.4.11为2018年10月份发布,然后CVE编号是2019年的= =

在这里插入图片描述

官方关于漏洞这么写的(感谢Badcode师傅给的提醒,要不还在找绕过呢):

This maintenance release addresses again the security vulnerability CVE-2013-7285, an arbitrary execution of commands when unmarshalling for XStream instances with uninitialized security framework. Only 1.4.10 uninitialized security framework was affected.

emm,1.4.10未初始化安全框架时漏洞会生效。

从XStream的ChangeLog可以看出:

1.4.7加入了基于黑白名单的安全框架,但是未提供默认安全配置。

1.4.10加入了setupDefaultSecurity这个配置默认安全配置的方法,但是想生效,你得调用它┓( ´∀` )┏。

调试的代码

Java代码:

import com.thoughtworks.xstream.XStream;
import java.io.File;
public class main {
    public  static void main(String args[]){
        XStream xStream = new XStream();
        //XStream.setupDefaultSecurity(xStream);//1.4.10后可用,启用默认安全配置,此处先不使用
        xStream.fromXML(new File("1.xml"));
    }
}

1.xml文件(CVE-2013-7285的POC):

<sorted-set>
    <dynamic-proxy>
        <interface>java.lang.Comparable</interface>
        <handler class="java.beans.EventHandler">
            <target class="java.lang.ProcessBuilder">
                <command>
                    <string>calc</string>
                </command>
            </target>
            <action>start</action>
        </handler>
    </dynamic-proxy>
</sorted-set>

分析

在XStream的解析过程中,每个能被解析的Class都需要找到一个对应的Converter,这些Converter在XStream对象的构造时进行定义(下图为1.4.6版本的截图):

在这里插入图片描述

所有的Converter都实现了Converter接口:

在这里插入图片描述

在反序列化过程中,XStream回依次调用canConvert来寻找对应的Converter。

1.4.6中处理java.beans.EventHandler的是,ReflectionConverter:

在这里插入图片描述

1.4.7的Changelog中有这么一句:

java.bean.EventHandler no longer handled automatically because of severe security vulnerability.

java.bean.EventHandler由于安全问题,不会再被自动处理。

于是当版本切换到1.4.7时,Poc失效,会有如下提示:

在这里插入图片描述

java.beans.EventHandler没有指定的Converter,看下1.4.7版本的ReflectionConverter:

在这里插入图片描述

可以看出当处理的Class为java.beans.EventHandler时,ReflectionConverter不再进行认为可以处理。

1.4.10,我们可以发现,在不使用setupDefaultSecurity时,Poc又可以弹计算器了,ReflectionConverter中关于EventHandler的判断不见了:

在这里插入图片描述
此处看下setupDefaultSecurity的内容:

在这里插入图片描述

加了一堆白名单,当调用setupDefaultSecurity时,可以拦截本POC:

在这里插入图片描述

可惜默认不调用,┓( ´∀` )┏。

1.4.11之后,加入了一个新的Converter类InternalBlackList,与XStream类在同一文件中,不论是进行marshal还是unmarshal都会直接报错(序列化时调用marshal,反序列化时调用unmarshal):

在这里插入图片描述

在注册Converters时,InternalBlackList的优先级LOW高于ReflectionConverter的VERY_LOW,会优先判断。

在这里插入图片描述
所以可以看出,当时类名为java.beans.EventHandler时,会被分配给该Converter处理:

在这里插入图片描述
最终直接报了个异常(安全警报,拒绝反序列化):

在这里插入图片描述

结语

XStream这个洞很迷,估计大部分人升级库的时候都不会注意到要调用setupDefaultSecurity,毕竟对Maven这样的构建工具来讲,只要简单的改下版本号就可以升级了。

个人感觉是这么个过程:

开发做了个新的安全功能,感觉很牛逼,于是旧有的就给下了。

但是新的安全功能不默认开,导致老洞又出来了。。。

在这里插入图片描述

分析完了感觉:

在这里插入图片描述

【组件攻击链】XStream组件高危漏洞分析与利用
further_eye的博客
12-01 3428
XStream组件漏洞主要是java反序列化造成的远程代码执行漏洞,目前官方通过黑名单的方式对java反序列化攻击进行防御,由于黑名单防御机制存在被绕过的风险,因此以后可能会出现类似java反序列化漏洞
XStream反序列化
Finlinlts的博客
10-01 1855
概述 XStream是Java类库,用来将对象序列化成XML(JSON)或反序列化为对象。XStream在运行时使用Java反射机制对要进行序列化的对象树的结构进行探索,并不需要对对象作出修改。XStream可以序列化内部字段,包括私private和final字段,并且支持非公开类以及内部类。在缺省情况下,XStream不需要配置映射关系,对象和字段将映射为同名XML元素。但是当对象和字段名与XML中的元素名不同时,XStream支持指定别名。XStream支持以方法调用的方式,或是Java标注的方式指定
JAVA动态代理类调试及生成问题解决
weixin_43460070的博客
06-08 1295
前几天碰到了这样的一个问题,就是在挖掘JAVA反序列化CVE-2019-10173的时候,compareTo()函数在碰到动态代理类的时候,会执行到Invoke方法,但是这个过程由于动态代理类不会生成,所以没有办法看到调用过程,所以就有了此文,记录一下这个过程。 看到许多文章都是说在动态代理测试中加入System.getProperties().put(“sun.misc.ProxyGenerator.saveGeneratedFiles”, “true”);这样的语句,但是在动态代理调试到compareT
CVE-2019-10173&&CVE-2013-7285
GalaxySpaceX的博客
03-20 1068
CVE-2019-10173&&CVE-2013-7285
『Java安全』XStream 1.4-1.4.6&1.4.10反序列化漏洞CVE-2013-7285复现与浅析
Ho1aAs‘s Blog
08-12 2521
# 漏洞简介 当XStream反序列化了一个动态代理类,再调用该动态代理类所声明的接口的方法时,就能够触发任意命令执行 > XStream序列化和反序列化分析:https://ho1aas.blog.youkuaiyun.com/article/details/126250860 > 动态代理:https://ho1aas.blog.youkuaiyun.com/article/details/121647387 # 影响版本 XStream 1.4-1.4.6、1.4.10............
XStream拒绝服务漏洞(CVE-2022-41966)响应通告
05-05
XStream拒绝服务漏洞(CVE-2022-41966)响应通告
XStream1.4.16反序列化漏洞CVE-2020-26258、CVE-2020-26259)
05-08
近日XStream官方发布安全更新,修复了XStream 反序列化漏洞CVE-2020-26258、CVE-2020-26259)。攻击者通过构造恶意的XML文档,可绕过XStream的黑名单,触发反序列化,从而造成CVE-2020-26258 SSRF漏洞,以及 CVE-...
Xstream漏洞复现(CVE-2021-29505)
Ashely的博客
09-24 3828
Vulhub漏洞环境搭建 拉取漏洞镜像 复现漏洞 一、Vulhub漏洞环境搭建 详见文章Vulhub靶场搭建(Centos7) 二、拉取漏洞镜像 1.进入到vulhub/Xstream/CVE-2021-29505目录下,执行 docker-compose up -d 等待拉取镜像。(默认拉取镜像速度很慢,建议换源,可参考https://blog.youkuaiyun.com/weixin_30565327/article/details/101108079) 2. ...
CVE-2021-29505 XStream远程代码执行漏洞复现
m0_56642842的博客
07-29 2244
0x00 简介 XStream是一个常用的Java对象和XML相互转换的工具,是用来处理XML文件序列化的框架,在将javaBean序列化,或将XML文件反序列化的时候,不需要其它辅助类和映射文件,大大简化了XML序列化工作。 0x01 漏洞概述 XStream官方发布安全更新,修复了多个XStream 反序列化漏洞,其中就包含了CVE-2021-29505。攻击者通过构造恶意的XML文档,可绕过XStream的黑名单,触发反序列化,从而造成CVE-2021-29505反序列化代码执行漏洞等。漏洞复杂度低,
CVE-2019-11477漏洞详解详玩
TCP/IP
08-20 9187
几天前,为了备注,2019年的6月17号吧,一个Linux/FreeBSD系统的漏洞爆出,就是CVE-2019-11477,Netflix的公告为: https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001.md Redhat的链接为: https://access.redha...
NO.93 WebLogic1213升级常见问题总结
AmosRyan--整体的局部还是整体,宇宙之外还是宇宙
02-02 5732
不断更新中 *LogBack.xml不能正常读取 *java.io.IOException: Connection closed, EOF detected 问题 *JS文件中alert、congfirm或innerHTML等需要显示在页面的中文乱码 *xstream转换报文报错 *应用在win环境的WLS12C下无问题,但在Linux的WLS12C下部署时报NullPointerException *ILOG6.5需配套升级至8.5
漏洞总结-linux提权漏洞
smart的博客
09-02 7289
漏洞总结-linux提权漏洞CVE-2019-13272CVE-2016-5195 CVE-2019-13272 此漏洞只能在使用了pkexec验证程序的系统中可以提权成功。 受影响的系统 Ubuntu 16.04.5 kernel 4.15.0-29-generic Ubuntu 18.04.1 kernel 4.15.0-20-generic Ubuntu 19.04 kernel 5.0.0-15-generic Ubuntu Mate 18.04.2 kernel 4.1
Webmin未经身份验证的远程代码执行 CVE-2019-15107 漏洞复现
ADummy的博客
03-02 365
Webmin未经身份验证的远程代码执行(CVE-2019-15107) by ADummy 0x00利用路线 ​ burpuite抓包—>改包—>远程代码执行 0x01漏洞介绍 ​ 参考链接的有效负载不完整。深入阅读代码后,我发现只有在1.920之前不存在主体的用户参数时,才能执行命令,而在1.920处没有限制。 ​ 影响版本 Webmin < 1.920 0x02漏洞复现 ​ 参考链接的有效负载不完整。深入阅读代码后,我发现只有在1.920之前不存在主体的用户参数时,才能
XStream 高危漏洞合集,XStream 组件反序列化漏洞
紫枫的博客
11-27 3120
CVE-2021-29505反序列化代码执行漏洞
XStream反序列化漏洞分析
weixin_44825990的博客
12-13 1061
XStream反序列化流程及CVE-2020-26217漏洞分析
Deepin 深度系统更新(2021.02.03)发布
code小生
02-13 555
点击上方“逆锋起笔”,公众号回复编程资源 领取大佬们推荐的学习资料 深度操作系统更新发布 11031.002(build),升级全新内核到 Kernel 5.10(Stable)版本...
Apache Solr 远程命令执行漏洞 CVE-2019-0193 漏洞复现
ADummy的博客
02-28 628
Apache Solr 远程命令执行漏洞CVE-2019-0193) by ADummy 0x00利用路线 ​ 创建核心—>选择debug模式—>写入exp—>命令执行 0x01漏洞介绍 ​ Apache Solr 是一个开源的搜索服务器。Solr 使用 Java 语言开发,主要基于 HTTP 和 Apache Lucene 实现。此次漏洞出现在Apache Solr的DataImportHandler,该模块是一个可选但常用的模块,用于从数据库和其他源中提取数据。它具有一个功能
CVE-2019-11477是什么
最新发布
06-17
### CVE-2019-11477 漏洞详情及修复方法 CVE-2019-11477 是一个存在于 Apache Struts2 框架中的远程代码执行漏洞,通常被称为 "Struts2 REST 插件 XStream 反序列化漏洞"。该漏洞允许攻击者通过构造恶意的 XML 数据包来触发反序列化操作,从而实现远程代码执行。以下是关于该漏洞的详细描述、影响范围和修复方案。 #### 1. 漏洞描述 Apache Struts2 是一个流行的 Java Web 开发框架,广泛用于构建企业级应用程序。CVE-2019-11477 漏洞源于 Struts2 的 REST 插件中使用了 XStream 库进行 XML 数据的反序列化操作。XStream 是一个用于将 Java 对象与 XML 之间相互转换的库,但由于其默认配置缺乏严格的白名单机制,可能导致攻击者通过精心构造的 XML 数据包执行任意代码[^5]。 #### 2. 影响范围 该漏洞主要影响以下版本的 Apache Struts2 框架: - Apache Struts2 版本 2.3.x 至 2.3.34 - Apache Struts2 版本 2.5.x 至 2.5.16 如果应用程序启用了 Struts2 的 REST 插件,并且使用了 XStream 进行 XML 数据处理,则可能受到此漏洞的影响。此外,任何依赖于受影响版本的应用程序或系统都可能存在安全风险。 #### 3. 修复方案 为了解决 CVE-2019-11477 漏洞,建议采取以下措施: - **升级框架版本**:将 Apache Struts2 升级到官方发布的最新安全版本。对于 Struts2,推荐升级到 2.3.35 或更高版本(适用于 2.3 系列),或者 2.5.17 或更高版本(适用于 2.5 系列)[^5]。 - **禁用 REST 插件**:如果应用程序未使用 Struts2 的 REST 插件功能,可以考虑直接禁用该插件以减少攻击面。 - **限制 XStream 功能**:如果必须使用 XStream 库,建议启用其白名单机制,仅允许特定类型的对象进行反序列化操作。可以通过自定义 `XStream` 配置来实现更严格的安全控制。 - **应用防火墙规则**:部署 Web 应用防火墙(WAF),过滤掉可能包含恶意 XML 数据的请求,从而降低被攻击的风险。 以下是一个示例代码片段,展示如何在 XStream 中启用白名单机制以提高安全性: ```java import com.thoughtworks.xstream.XStream; import com.thoughtworks.xstream.security.ExplicitTypePermission; public class SecureXStreamExample { public static void main(String[] args) { XStream xstream = new XStream(); // 设置白名单,仅允许指定类型的对象进行反序列化 xstream.addPermission(ExplicitTypePermission.ALLOWED_TYPES); xstream.allowTypes(new Class[]{SafeClass.class}); } } ``` #### 4. 总结 CVE-2019-11477 是一个严重的远程代码执行漏洞,可能对使用 Apache Struts2 框架的应用程序造成重大威胁。及时升级框架版本、禁用不必要的插件以及加强 XStream 的安全配置是有效的防护措施。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值