GitHub - MyBlackManba/CVE-2021-29505: 对CVE-2021-29505进行复现，并分析学了下Xstream反序列化过程

复现过程

在IDEA中导入xstream组件的jar包，本次复现所使用的是CommonsCollections6链来进行利用，故导入commons-collections组件jar包,POC详见附件。首先使用ysoserial启动一个恶意RMI服务端进行监听，并利用了CommonsCollections6链进行命令执行，如下所示：

java -cp .\ysoserial.jar ysoserial.exploit.JRMPListener 1099 CommonsCollections6  "calc"

同时根据该漏洞对Xstrean的反序列化流程进行了分析调试做了记录，详见xstream反序列化流程分析.pdf

Name		Name	Last commit message	Last commit date
Latest commit History 8 Commits
1.png		1.png
README.md		README.md
commons-collections-3.1.jar		commons-collections-3.1.jar
exp.java		exp.java
xstream-1.4.15.jar		xstream-1.4.15.jar
xstream反序列化流程分析.pdf		xstream反序列化流程分析.pdf

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

Repository files navigation

复现过程

About

Releases

Packages

Languages

MyBlackManba/CVE-2021-29505

Folders and files

Latest commit

History

Repository files navigation

复现过程

About

Resources

Stars

Watchers

Forks

Releases

Packages 0

Languages

Packages