其他
CVE-2020-26258&26259:XStream漏洞复现
上方蓝色字体关注我们,一起学安全!作者:蔷薇@Timeline Sec
本文字数:899阅读时长:2~3min声明:请勿用作违法用途,否则后果自负
XStream基于Java库,是一种OXMapping 技术,用来处理XML文件序列化的框架,在将JavaBean序列化,或将XML文件反序列化的时候,不需要其它辅助类和映射文件,使得XML序列化不再繁琐。XStream也可以将JavaBean序列化成Json或反序列化,使用非常方便。
2020年12月14日,XStream 发布了XStream 反序列化漏洞的风险提示。
在运行XStream的服务上,未授权的远程攻击者通过构造特定的序列化数据 ,可造成服务端请求伪造/任意文件删除。
Xstream <= 1.4.14
https://github.com/jas502n/CVE-2020-26259
<!-- https://mvnrepository.com/artifact/com.thoughtworks.xstream/xstream -->
<dependencies>
<dependency>
<groupId>com.thoughtworks.xstream</groupId>
<artifactId>xstream</artifactId>
<version>1.4.14</version>
</dependency>
</dependencies>
到这里,我们在新建的XStream项目中引入了XStream依赖
import com.thoughtworks.xstream.XStream;
import com.thoughtworks.xstream.io.json.JettisonMappedXmlDriver;
class Person//JavaBean实体类
{
private String name;
private int age;
public Person(String name,int age)
{
this.name=name;
this.age=age;
}
@Override
public String toString()
{
return "Person [name=" + name + ", age=" + age + "]";
}
}
public class Test
{
public static void main(String[] args)
{
Person bean=new Person("美女",18);
XStream xstream = new XStream();
//XML序列化
String xml = xstream.toXML(bean);
System.out.println(xml);
// //XML反序列化
bean=(Person)xstream.fromXML(xml);
System.out.println(bean);
}
}
到这里,我们简单使用Xstream实现了将java对象和xml文件相互转换的过程
https://github.com/jas502n/CVE-2020-26259/blob/main/CVE_2020_26258.java
https://github.com/jas502n/CVE-2020-26259/blob/main/CVE_2020_26259.java
测试实现删除某一个文件:
运行后,ceshi.txt已被删除:
动图:
将XStream升级到最新版本。
https://github.com/jas502n/CVE-2020-26259
https://x-stream.github.io/CVE-2020-26258.html
https://x-stream.github.io/CVE-2020-26259.html
Timeline Sec 团队
安全路上,与你并肩前行