标签： CAS反序列化

Apereo CAS是一款Apereo发布的集中认证服务平台，常被用于企业内部单点登录系统。其4.1.7版本之前存在一处默认密钥的问题，利用这个默认密钥我们可以构造恶意信息触发目标反序列化漏洞，进而执行任意命令。 参考链接： https://apereo.github.io/2016/04/08/commonsvulndisc/ 环境搭建 执行如下命令启动一个Apereo CAS 4.1.5： d...