关联漏洞
标题:
XStream 代码问题漏洞
(CVE-2021-29505)
描述:XStream是XStream(Xstream)团队的一个轻量级的、简单易用的开源Java类库,它主要用于将对象序列化成XML(JSON)或反序列化为对象。 XStream存在代码问题漏洞,该漏洞允许远程攻击者有足够的权限仅通过操纵处理后的输入流来执行主机的命令。
描述
对CVE-2021-29505进行复现,并分析学了下Xstream反序列化过程
介绍
## 复现过程
在IDEA中导入xstream组件的jar包,本次复现所使用的是CommonsCollections6链来进行利用,故导入commons-collections组件jar包,POC详见附件。
首先使用ysoserial启动一个恶意RMI服务端进行监听,并利用了CommonsCollections6链进行命令执行,如下所示:
```txt
java -cp .\ysoserial.jar ysoserial.exploit.JRMPListener 1099 CommonsCollections6 "calc"
```
同时根据该漏洞对Xstrean的反序列化流程进行了分析调试做了记录,详见`xstream反序列化流程分析.pdf`
文件快照
[4.0K] /data/pocs/59b90941ae7eaa9953847006bb7073e579f42002
├── [190K] 1.png
├── [546K] commons-collections-3.1.jar
├── [5.0K] exp.java
├── [ 570] README.md
├── [613K] xstream-1.4.15.jar
└── [426K] xstream反序列化流程分析.pdf
0 directories, 6 files
备注
1. 建议优先通过来源进行访问。
2. 如果因为来源失效或无法访问,请发送邮箱到 f.jinxu#gmail.com 索取本地快照(把 # 换成 @)。
3. 神龙已为您对POC代码进行快照,为了长期维护,请考虑为本地POC付费,感谢您的支持。