漏洞描述:Apereo CAS是一款Apereo发布的集中认证服务平台,常被用于企业内部单点登录系统。其4.1.7版本之前存在一处默认密钥的问题,利用这个默认密钥我们可以构造恶意信息触发目标反序列化漏洞,进而执行任意命令。
影响版本:<4.1.7
参考资料:
- https://www.freebuf.com/vuls/332697.html
- https://www.wangan.com/docs/1734
- https://github.com/vulhub/Apereo-CAS-Attack
漏洞复现
- 使用Apereo-CAS-Attack生成payload
2.在登陆处抓包http://123.58.224.8:30508/cas/login
- 在这里贴上生成的payload
- 在VPS上监听,自动反弹
- 获取flag
cat /proc/self/environ
© 版权声明
部分文章采集于互联网,若侵权请联系删除!
THE END
cesfe 22天前0
好的,谢谢昶之琴 24天前0
这个安装地址失效了,我在网上找了一个:https://xiazai.zol.com.cn/detail/35/344340.shtml 如果还是不行的话就需要您自己去网上找找了cesfe 25天前0
帆软部署 ,访问的地址访问不到昶之琴 2年前0
我以为只要提交就行了好想告诉你 2年前0
花巨资看一下