(以上Xstream Demo环境经本人搭建,漏洞利用环境以JDK1.8_u131为准,现支持本地测试和HTTP远程发包)
XSTREAM<=1.4.17漏洞复现(CVE-2021-39141、CVE-2021-39144、CVE-2021-39150、CVE-2021-39152)
不提供本实验利用POC,仅展示复现利用效果,为避免恶意人员的利用,仅提供官网POC:http://x-stream.github.io/changes.html
攻击机起一个http服务供Exploit.class的访问,再用marshalsec工具起一个LDAP监听器,如下:
发包即利用
A Server-Side Forgery Request can be activated unmarshalling with XStream to access data streams from an arbitrary URL referencing a resource in an intranet or the local host. 发包即利用
All versions until and including version 1.4.17 are affected, if using the version out of the box with Java runtime version 14 to 8. 发包即利用
经测试发现内外网的IP或者域名仅能解析/探测一次