Adminxe's Blog | 低调求发展 - 潜心习安全 ,技术永无止境 | 谢谢您对本站的支持,有什么问题或者建议请及时联系:点击这里给我发消息

解决 Ant Sword-HTTPS 证书失效(cert_has_expired)连不上问题

渗透测试 Adminxe 5382℃ 0评论

0x00 前言

渗透过程中,有的时候会遇到,上传小马,使用蚁剑连接会提示报错(code:cert_has_expired)问题,并且上传大马能正常解析,或者使用菜刀可以连接上,但是蚁剑和冰蝎就是连接不上,这时候就出现了这篇文章。

0x01 相关信息

Windows 10

jdk1.8.0_144

尝试1:

默认在中国蚁剑里面有忽略 https 证书的选项, 测试失败

尝试2:

在 执行 jar 时加入参数-Djsse.enableSNIExtension=false , 忽略证书菜刀测试失败, burpsuite 测试成功

尝试3:

在 执行 jar 时加入参数 -Djdk.tls.client.protocols="TLSv1,TLSv1.1" , 测试失败


0x02 报错汇总

报错1: cert has expired

报错2: Certificates does not conform to algorithm constraints

原因:

JDK7/8后添加了安全机制,导致这个问题出现

解决办法:

第一步:
更改配置文件$JAVA_HOME/jre/lib/security/java.security

jdk.certpath.disabledAlgorithms=MD2, MD5, RSA keySize < 1024
jdk.tls.disabledAlgorithms=SSLv3, RC4, MD5withRSA, DH keySize < 768

改为

jdk.certpath.disabledAlgorithms=MD2, RSA keySize < 1024
jdk.tls.disabledAlgorithms=SSLv3, RC4, DH keySize < 768

或者置为空

jdk.certpath.disabledAlgorithms=
jdk.tls.disabledAlgorithms=

第二步运行程序:

java -Djsse.enableSNIExtension=false -jar xxxx.jar

0x03 建议

  1. 不要一直把该配置应用到物理机 . 测试完成还原配置 有SSL证书连接更安全
  2. 可以尝试还原 java 接口 X509TrustManager

0x04 参考

  • https://stackoverflow.com/questions/14149545/java-security-cert-certificateexception-certificates-does-not-conform-to-algori
  • https://blog.csdn.net/shumeng_xiaoyan/article/details/76503601
  • https://m.2cto.com/kf/201208/151826.html

转载请注明:Adminxe's Blog » 解决 Ant Sword-HTTPS 证书失效(cert_has_expired)连不上问题

喜欢 (11)or分享 (0)
发表我的评论
取消评论
表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址