Java安全之Cas反序列化漏洞分析

0x00 前言

某次项目中遇到Cas，以前没接触过，借此机会学习一波。

0x01 Cas 简介

CAS 是 Yale 大学发起的一个开源项目，旨在为 Web 应用系统提供一种可靠的单点登录方法，CAS 在 2004 年 12 月正式成为 JA-SIG 的一个项目，开源的企业级单点登录解决方案。

0x02 远程调试环境搭建

下载地址,将环境war包下载，部署到tomcat即可

Java安全之Cas反序列化漏洞分析

tomcat目录bin文件下，startup_debug.bat

call %EXECUTABLE%" start %CMD_LINE_ARGS%

改为

set JPDA_TRANSPORT=dt_socket
set JPDA_ADDRESS=5005
set JPDA_SUSPEND=n
call "%EXECUTABLE%" jpda start %CMD_LINE_ARGS%

IDEA中设置Remote远程调试5005即可完成。

Java安全之Cas反序列化漏洞分析

0x03 漏洞分析

漏洞详情

4.1.7版本之前存在一处默认密钥的问题，利用这个默认密钥我们可以构造恶意信息触发目标反序列化漏洞，进而执行任意命令。

影响版本 Apereo CAS <= 4.1.7
实际上 4.2.X也能打，但是 <= 4.1.7使用的是硬编码，而后者属于随机密钥
感觉上和Shiro的 550有点类似

解析流程分析

看web.xml得知，该项目基于Spring MVC开发。

上图请求路径是/login的这里来直接找login的处理方法进行跟踪。

从web.xml中可见，交给了DispatcherServlet去处理。

Java安全之Cas反序列化漏洞分析

这时候可以查看springmvc的配置文件cas-servlet.xml

Java安全之Cas反序列化漏洞分析

注意loginHandlerAdapter这个配置的bean，其中的属性有supportedFlowId的值为”login”，同时属性flowExecutor-ref的引用值为loginFlowExecutor。

Java安全之Cas反序列化漏洞分析

再看loginFlowExecutor这个bean中所配置的登录流程属性引用值就是我们webflow上下文配置中的loginFlowRegistry这个属性。

Java安全之Cas反序列化漏洞分析

因此我们来看一下loginHandlerAdapter这个bean对应的类为org.jasig.cas.web.flow.SelectiveFlowHandlerAdapter所起的作用，是如何来处理登录动作的。先来看一下这个类的父类org.springframework.webflow.mvc.servlet.FlowHandlerAdapter，这个是Springmvc中的一个类。

Java安全之Cas反序列化漏洞分析

FlowHandlerAdapter实现接口HandlerAdapter，而SelectiveFlowHandlerAdapter继承自FlowHandlerAdapter。

SelectiveFlowHandlerAdapter类在cas-server-webapp-actions模块下的org.jasig.cas.web.flow包下。
因此Spring的DispatcherServlet找到要处理的handleAdapter是SelectiveFlowHandlerAdapte。并且根据地址http://localhost:8080/cas/login?service=XXX，得到handler的flowId=”login”，即流程：loginFlowRegistry。

Java安全之Cas反序列化漏洞分析