CVE-2021-29505 PoC — XStream 代码问题漏洞

Source

https://github.com/MyBlackManba/CVE-2021-29505

Associated Vulnerability

Title:XStream 代码问题漏洞 (CVE-2021-29505)
Description:XStream是XStream（Xstream）团队的一个轻量级的、简单易用的开源Java类库，它主要用于将对象序列化成XML（JSON）或反序列化为对象。 XStream存在代码问题漏洞，该漏洞允许远程攻击者有足够的权限仅通过操纵处理后的输入流来执行主机的命令。

Description

对CVE-2021-29505进行复现，并分析学了下Xstream反序列化过程

Readme

## 复现过程
在IDEA中导入xstream组件的jar包，本次复现所使用的是CommonsCollections6链来进行利用，故导入commons-collections组件jar包,POC详见附件。
首先使用ysoserial启动一个恶意RMI服务端进行监听，并利用了CommonsCollections6链进行命令执行，如下所示：
```txt
java -cp .\ysoserial.jar ysoserial.exploit.JRMPListener 1099 CommonsCollections6  "calc"
```
![1.png](1.png)
同时根据该漏洞对Xstrean的反序列化流程进行了分析调试做了记录，详见`xstream反序列化流程分析.pdf`

File Snapshot


 [4.0K]  /data/pocs/59b90941ae7eaa9953847006bb7073e579f42002
├── [190K]  1.png
├── [546K]  commons-collections-3.1.jar
├── [5.0K]  exp.java
├── [ 570]  README.md
├── [613K]  xstream-1.4.15.jar
└── [426K]  xstream反序列化流程分析.pdf

0 directories, 6 files

Shenlong Bot has cached this for you

Remarks

1. It is advised to access via the original source first.

2. If the original source is unavailable, please email f.jinxu#gmail.com for a local snapshot (replace # with @).

3. Shenlong has snapshotted the POC code for you. To support long-term maintenance, please consider donating. Thank you for your support.

Goal Reached Thanks to every supporter — we hit 100%!