XStream Deserializable Vulnerablity And Groovy CVE-2015-3253漏洞分析

最新推荐文章于 2025-07-20 12:15:35 发布

转载最新推荐文章于 2025-07-20 12:15:35 发布 · 191 阅读

0 ·

CC 4.0 BY-SA版权

原文链接：http://blog.51cto.com/duallay/1963045

本文探讨了XStream中的反序列化漏洞及Groovy CVE-2015-3253问题，针对这些安全风险提供了详细的分析和技术背景。

【转】https://www.iswin.org/2016/02/27/Xstream-Deserializable-Vulnerablity-And-Groovy-CVE-2015-3253/

转载于:https://blog.51cto.com/duallay/1963045

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

weixin_34009794

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

xstream 反序列化漏洞研究与修复

你和萤火虫有两个共同点，在我的眼里都会发光，同时，都已经很多年没见了

03-17

5844

文章目录1、简介2、举例3、漏洞4、修复 1、简介 xstream是一个用于序列化和反序列化的java库，主要是java对象和xml之间相互转换。 XStream反序列化同fastjson这种不一样的地方是fastjson会在反序列化的时候主动去调用getters和setters，而XStream的反序列化过程中赋值都有Java的反射机制来完成，所以并没有这样主动调用的特性。特点使用方便 - XStream的API提供了一个高层次外观，以简化常用的用例无需创建映射 - XStream的API提供了默

Xstream Deserializable Vulnerablity And Groovy（CVE-2015-3253）

weixin_33885676的博客

03-08

160

xcoder · 2016/03/02 10:380x00 简介序列化的问题貌似在最近爆发的非常频繁，最近有小伙伴在问我关于这两天爆发的Xstream组建的反序列化的漏洞，最近公司非常忙，不过赶上周末刚好抽时间看了下，其实这次的漏洞和之前JRE的那个反序列化漏洞触发的条件基本上差不多，不过关于JRE的那个序列化似乎没人关注，有兴趣的同学可以去找找关于那个JRE的序列化，影响力不亚于11月份我分析的...

参与评论您还未登录，请先登录后发表或查看评论

Groovy 反序列化漏洞分析(CVE-2015-3253)

weixin_30519071的博客

10-08

885

0x00 前言 Java反序列化的漏洞爆发很久了，此前一直想学习一下。无奈Java体系太过于复杂，单是了解就花了我很久的时间，再加上懒，就一直拖着，今天恰好有空，参考@iswin大佬两年前的分析，我自己跟踪了一下流程，并按自己的想法重写了一下POC，在此做个记录。 0x01 漏洞环境搭建首先我们需要明确的是，该漏洞影响的范围是Groovy 1.7.0-2.4.3。我们借助...

RCE via XStream object deserialization && SECURITY-247 / CVE-2016-0792 XML reconstruction Object Cod...

weixin_33834137的博客

02-26

241

catalogue 1. Java xStream 2. DynamicProxyConverter 3. java.beans.EventHandler 4. RCE via XStream object deserialization 5. Standard way to serialize and deserialize Objects with XStream 6. SE...

XStream与Groovy CVE-2015-3253：深度剖析反序列化漏洞

本文主要探讨了XStream框架的Deserializable漏洞及其与Groovy组件的CVE-2015-3253漏洞之间的关联。XStream是一个流行的对象序列化库，它允许将Java对象转换为XML或JSON格式，反之亦然。然而，这种功能如果处理不当，...

Jenkins-CVE-2016-0792漏洞复现（Xstream 反序列化漏洞）

whojoe的博客

06-04

4954

Jenkins-CVE-2016-0792漏洞复现（Xstream 反序列化漏洞）环境搭建漏洞复现环境清理参考文章环境搭建首先需要安装jenkins，这里使用的是1.642.1版本，其他版本可以自行下载，在官网和百度一开始都是没找到的，包括看了其他人的分析，但是都没有找到环境搭建，大部分是直接复现和poc分析下载链接 http://archives.jenkins-ci.org/war-stable/1.642.1/jenkins.war 这里需要在本地配置java环境，具体方法这里不在介绍，我复现

CVE-2024-36401 GeoServer远程代码执行

haoyv147的博客

07-01

932

GeoServer调用的GeoTools库API，在解析特性类型的属性/属性名称时，以不安全的方式将它们传递给commons-jxpath库，当解析XPath表达式时可以执行任意代码。GeoServer 使用了某些类库（如 XStream）来反序列化 XML 请求，如果攻击者传入了精心构造的 XML Payload，GeoServer 将在处理过程中。此漏洞允许未经身份验证的攻击者远程执行任意代码，危及服务器的完整性与数据安全。这个请求触发了 XMLDecoder 执行，从而在服务器上运行了恶意命令。

java-chains 是 Vulhub 团队开发的一款专注于 Java 反序列化漏洞利用链（Gadget Chains）的安全测试工具

最新发布

sinat_17584329的博客

07-20

776

摘要： java-chains 是 Vulhub 团队开发的 Java 反序列化漏洞利用链（Gadget Chains）测试工具，支持自动化生成和验证 Payload，覆盖 Commons Collections、FastJSON 等常见漏洞链。其核心功能包括动态生成序列化攻击数据、流量代理拦截及漏洞检测（通过 DNSLog/HTTP 回调）。工具适用于安全研究、渗透测试及漏洞修复验证，支持与 ysoserial、BurpSuite 联动。需 JDK 8 环境，通过 Maven 编译使用。防御建议包括升级依

kali渗透4-finding vulnerbilities-漏洞发现

qq_40621853的博客

05-12

791

使用 Hackbar 插件来简化参数分析操作步骤访问 DVWA 并且登录。默认的用户名/密码组合是 admin/admin 。在左侧的菜单上选择 SQL Injection （SQL 注入）。在 User ID 输入框中输入数字，并点击 Submit （提交）。现在我们可以按下 F9 或者点击图标来显示 Hackbar。 Hackbar 会赋值 URL 及其参数。我们也可以开启修改 POST 请求和 Referer 参数的选项。后者告诉服务器页面从哪里被请求。让我们做个简单的改动，将 id 参

XStream 序列化与反序列化

cloudywsky的博客

06-08

888

XStream 序列化与反序列化一直以来写代码的时候都是不断地复制、粘贴。代码写多了，时间长了，不看代码根本就不知道代码的具体实现的方式是什么，现在对以前写过的代码进行一个简单的整理。 xstream的jar文件下载路径对象的创建具体的Xstream的实现方式具体事例说明 xstream的jar文件下载路径云盘：官网：对象的创建@XStreamAlias("Body") pub

Xstream反序列化分析（CVE-2021-39149）

zkaqlaoniao的博客

01-04

1539

前几个月XStream爆出一堆漏洞，这两天翻了翻，发现这波洞应该是黑名单绕过的最后一波了。因为在最新版的XStream 1.4.18中已经默认开启白名单的安全框架，按照XStream官方补漏洞的习惯，应该不会再接受新的绕过黑名单的漏洞了。

XStream反序列化漏洞分析

weixin_44825990的博客

11-25

2018

XStream反序列化漏洞分析

XStream反序列化漏洞分析二

weixin_44825990的博客

12-13

1026

XStream反序列化流程及CVE-2020-26217漏洞分析

使用XStream序列化、反序列化XML数据时遇到的各种问题

Mr__fang的专栏

06-07

3370

转载：http://www.blogjava.net/DLevin/archive/2012/11/30/392240.html 首先对于简单的引用，XStream使用起来确实比较简单，比如自定义标签的属性、使用属性和使用子标签的定义等： @XStreamAlias("request") public class XmlRequest1 { private static

java对象序列化与反序列化漏洞

老辉辉的博客

05-22

1244

在这里写一下之前做的一个小测试，就是关于java中对象序列化的demo。先贴出序列化测试类package com.lazy.cc; import java.io.Serializable; /** * User: 老辉辉 * Date: 2018/05/11 */ public class SerialObject implements Serializable { /** * Se...

JAVA反序列化系列漏洞复现

谢公子的博客

05-31

7793

目录 Weblogic反序列化漏洞 Weblogic < 10.3.6 'wls-wsat' XMLDecoder 反序列化漏洞（CVE-2017-10271） Weblogic WLS Core Components 反序列化命令执行漏洞（CVE-2018-2628） Weblogic反序列化漏洞（CVE-2019-2725） JBOSS反序列化漏洞 JBoss JMXInvo...

『Java安全』XStream 1.4-1.4.6&1.4.10反序列化漏洞CVE-2013-7285复现与浅析

Ho1aAs‘s Blog

08-12

2345

# 漏洞简介当XStream反序列化了一个动态代理类，再调用该动态代理类所声明的接口的方法时，就能够触发任意命令执行 > XStream序列化和反序列化分析：https://ho1aas.blog.youkuaiyun.com/article/details/126250860 > 动态代理：https://ho1aas.blog.youkuaiyun.com/article/details/121647387 # 影响版本 XStream 1.4-1.4.6、1.4.10............