『Java安全』Shiro1.0.0未标准化路径造成越权访问(CVE-2010-3863)复现与浅析

已于 2022-06-23 15:36:54 修改
阅读量1.4k 收藏 1
点赞数
分类专栏: # Shiro(搁置) 文章标签: java shiro 反序列化 web安全 springboot
于 2022-06-22 14:22:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Xxy605/article/details/125404334
版权
本文详细介绍了Apache Shiro的一个安全漏洞,该漏洞允许未授权的/越权访问。通过环境配置、代码审计和复现步骤,展示了如何利用未标准化路径造成权限问题。修复方案是确保路径处理的标准化,防止恶意用户通过特殊路径绕过权限控制。
摘要由CSDN通过智能技术生成

文章目录

影响版本

1.0.0-incubating

漏洞原理

未标准化路径造成/./越权访问

漏洞复现

环境配置

环境采用springboot+shiro,配置基础见下文:

https://ho1aas.blog.csdn.net/article/details/125367641

在这里插入图片描述

ShiroConfig

package com.example.shirospring.config;

import org.apache.shiro.realm.text.IniRealm;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import java.util.HashMap;
import java.util.Map;

@Configuration
public class ShiroConfig {
    @Bean
    public IniRealm getIniRealm(){
        return new IniRealm("classpath:shiro.ini");
    }

    @Bean
    public DefaultWebSecurityManager getDefaultWebSecurityManager(IniRealm iniRealm){
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(iniRealm);
        return securityManager;
    }

    @Bean
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(DefaultWebSecurityManager defaultWebSecurityManager){
        ShiroFilterFactoryBean filter = new ShiroFilterFactoryBean();
        filter.setSecurityManager(defaultWebSecurityManager);

        Map<String,String> filterMap = new HashMap<>();

        filterMap.put("/**", "anon");

        filter.setFilterChainDefinitionMap(filterMap);

        filter.setLoginUrl("/login.html");
        filter.setUnauthorizedUrl("/unauthorized.html");

        return filter;
    }
}

UserController

package com.example.shirospring.controller;

import com.example.shirospring.service.UserServiceImpl;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
@RequestMapping("/user")
public class UserController {
    @Autowired
    UserServiceImpl userService;

    @PostMapping("/login")
    public String login(String username,String password){
        try {
            userService.checkLogin(username,password);
            return "login successfully!";
        } catch (Exception e) {
            return "error";
        }
    }
}

UserServiceImpl

package com.example.shirospring.service;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.subject.Subject;
import org.springframework.stereotype.Service;

@Service
public class UserServiceImpl {
    public void checkLogin(String username, String password) throws Exception{
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken(username, password);
        subject.login(token);
    }
}

index login unauthorized

写三个简单的html就行了
在这里插入图片描述

shiro.ini

写两个用户和角色就行

[users]
user=user,user
admin=admin,admin

[roles]
admin=*
user=use

复现操作

在resources下写一个secret.html

在这里插入图片描述
然后在ShiroConfig.getShiroFilterFactoryBean,也就是过滤器,添加需要鉴权才可访问

在这里插入图片描述
使用burp在未登录情况访问secret.html,提示未登录需要鉴权

在这里插入图片描述
然后尝试访问/./secret.html,读取成功,这一步不能使用hackbar

在这里插入图片描述

代码审计

PathMatchingFilterChainResolver.getChain获取过滤器链然后调用过滤器

在这里插入图片描述
获取请求URL,这里直接截取了,没有任何处理

在这里插入图片描述

接下来就是依次匹配,直到匹配成功

在这里插入图片描述

匹配利用AntPathMatcher.matches

在这里插入图片描述
直接全字匹配了,用的是字符串比较

在这里插入图片描述
在这里插入图片描述
这样配置filter就会导致未授权/越权访问

参考

https://su18.org/post/shiro-1/

欢迎关注我的CSDN博客 :@Ho1aAs
版权属于:Ho1aAs
本文链接:https://ho1aas.blog.csdn.net/article/details/125404334
版权声明:本文为原创,转载时须注明出处及本声明

Ho1aAs
关注
专栏目录
Java代码审计】越权
大河之犬的博客
05-11 776
失效的访问控制是指对通过身份验证的用户实施恰当的访问控制。攻击者可以利用这些缺陷访问经授权的功能或数据,例如访问其他用户的账户、查看敏感文件、修改其他用户的数据、更改访问权限等。业界常将典型的越权漏洞划分为横向越权与纵向越权这两类。
vulhub靶场shiro系列漏洞复现CVE-2010-3863CVE-2016-4437(shiro550)、CVE-2020-1957、shiro721
qq_58873970的博客
07-25 1315
以上shiro反序列化,权限绕过,shiro-721 代码执行也可以用上面工具检测到并利用工具下载地址shiro反序列化综合利用工具:https://github.com/j1anFen/shiro_attack/releasesshiro漏洞检测工具yakit:https://github.com/yaklang/yakit/tags。
Java:水平越权与垂直越权访问漏洞问题
最新发布
欢迎来到 ABin-阿斌的博客:写一生代码,创一世佳话,筑一览芳华。
07-14 1249
电网机巡智能管控平台是XX省电力巡检智能管控平台,辅助全省无人机巡线作业工作顺利、高效开展。由于今年互联网出现了严重的安全事故。XX省对全省的业务系统提高了安全意识,开展了为期4个月的“护网行动”,对全省所有的业务系统进行全面的安全检查,成立了护网行动小组。“非常荣幸的”我们研发的电网机巡智能管控平台被列为检查对象。在安全检查的过程中,发现了大量接口存在越权访问漏洞。借此机会,对越权访问漏洞进行了学习,结合本次护网行动的开展过程,总结了一下关于越权访问漏洞的相关内容。
vulhub shiro漏洞复现 | CVE-2010-3863CVE-2016-4437、CVE-2020-1957漏洞复现(详细图解)
鱼溯的博客
02-18 1612
vulhub shiro漏洞复现 | CVE-2010-3863认证绕过漏洞、CVE-2016-4437/1.2.4反序列化/shrio550、CVE-2020-1957认证绕过漏洞漏洞复现(详细图解)
如何实现登录后只显示自己信息的页面_Springboot Shiro页面按钮显示、路径越权访问题...
weixin_39630735的博客
12-06 1223
阅读前文章SpringBoot Shiro 实现登录/记住我的功能SpringBoot Shiro基于Url权限拦截系统本文导读通过以上两篇文章,已经实现了shiro登录,基于Url实现权限拦截,那么问题来了,现在有需求要求:用户登录后进入主页或者某个页面,只显示这个用户拥有的权限菜单、按钮,无权限不应该显示。针对这个需求,我们应该如何处理呢?这就是本文重点实现的。编写SQL/DAO/Contro...
CVE-2016-4437 Shiro反序列化漏洞复现
weixin_45260839的博客
05-15 2870
CVE-2016-4437 Shiro反序列化漏洞复现
Apache Shiro身份验证绕过漏洞(CVE-2020-13933)
07-17
直接使用java -jar srping....war命令运行即可 执行之后,访问http://主机的IP:8888/admin/*或者http://主机的IP:8888/login
CVE-2020-13933 靶场: shiro 认证绕过漏洞.zip
01-14
总体而言,靶场在信息安全领域具有重要地位,为安全专业人员提供了实战演练的机会,促进了团队协作与沟通,为学习者提供了安全的学习环境,同时也是安全社区交流的重要平台。通过靶场的实践操作,安全从业者能够更好...
CVE-2016-4437 Shiro550 & Shiro721 RememberMe Padding Oracle 漏洞利用
03-29
CVE-2016-4437 Shiro550 & Shiro721 RememberMe Padding Oracle Shiro721 RememberMe Padding Oracle影响版本: - Apache Shiro 1.2.5,1.2.6,1.3.0,1.3.1,1.3.2,1.4.0-RC2,1.4.0,1.4.1 CVE-2016-4437 ...
详细shiro漏洞复现及利用方法(CVE-2016-4437)
dreamthe的博客
04-26 2万+
该篇文章比较详细的介绍shiro漏洞利用,无论是shiro漏洞图形化工具利用,还是shiro漏洞结合JRMP我觉得比大多数文章都详细,如果你对网上结合JRMP反弹shell不是很明白,非常推荐来看看这篇文章。另外漏洞利用工程中用到的工具以及代码都上传到百度网盘,供大家使用,在文章最后哦。
Apache Shiro(身份验证绕过漏洞CVE-2010-3863
weixin_62117955的博客
06-01 364
低于 1.1.0 的 Apache Shiro 和 JSecurity 0.9.x 在将 URI 路径shiro.ini 文件中的条目进行比较之前不会将其规范化,这允许远程攻击者通过构建的请求绕过预期的访问限制,如 /、/./、../、//。Apache Shiro 是一个功能强大且易于使用的 Java 安全框架,可执行身份验证、授权、加密和会话管理。无法访问对管理页面的直接请求,并将重定向到登录页面。靶机地址:192.168.159.128。以绕过身份验证检查并成功访问管理页面。
[详细]Apache Shiro身份验证越权漏洞[CVE-2016-6802][CVE-2020-1957]
qq_60115503的博客
11-07 2755
Apache Shiro是一个强大且易用的java安全框架,执行身份验证,授权,密码和会话管理,使用Shiro的API,可以快速获取任何应用程,从最小的移动应用到最大的网络和企业应用程序。
Shiro--越权控制
IT利刃出鞘的博客
05-31 2230
其他网址 访问控制--越权_weixin_30379973的博客-CSDN博客 访问控制的含义 在互联网安全领域,尤其是web安全领域中,“权限控制”的问题可以归结为“访问控制”。 访问控制广泛应用于各个系统中。抽象地说,都是某个主体对某个客体需要实施某种操作,而系统对这种操作的限制就是权限控制。 在一个安全系统中,确定主体的身份是“认证”解决的问题;而客体是一种资源,是主体发起的请求的对象。在主体对客体进行操作的过程中,系统控制主体不能“无限制”的...
横向越权访问java_基于ThinkPhp5开发横向越权逻辑漏洞安全指南
weixin_39601056的博客
02-28 168
什么是纵向越权逻辑漏洞?纵向越权也是垂直越权指的是一个低级别攻击者尝试访问高级别用户的资源,例如本实验:普通用户获取管理员用户权限进行新增/删除便签操作。越权漏洞是Web应用程序中一种常见的安全漏洞,也就是逻辑漏洞;它的威胁在于一个账户即可控制全站用户数据操作,越权漏洞的成因主要是因为开发人员在对数据进行增、删、改、查询时对客户端请求的数据没有做权限的判断。越权逻辑漏洞利用原理:通过利用以通过系统...
越权访问解决方案探索(基于Spring与Shiro,多页面前端应用)
Simon111Qiu的博客
11-11 2082
越权访问(Broken Access Control,简称BAC)是Web应用程序中一种常见的漏洞,由于其存在范围广、危害大,被OWASP列为Web应用十大安全隐患的第二名。越权访问的介绍可以参考如下文章,介绍得比较详细: https://blog.csdn.net/u012068483/article/details/89553797 目前的问题分析与解决思路: 问题1、水平越权访问是一种“基于数据的访问控制”设计缺陷引起的漏洞。由于服务器端在接收到请求数据进行操作时没有判断数据的所属人/所属部门而
水平越权访问与垂直越权访问漏洞
热门推荐
HTZW的博客
04-26 3万+
目录 前言 越权访问漏洞 水平越权访问漏洞 垂直越权访问漏洞 防范措施 前言 电网机巡智能管控平台是XX省电力巡检智能管控平台,辅助全省无人机巡线作业工作顺利、高效开展。由于今年互联网出现了严重的安全事故。XX省对全省的业务系统提高了安全意识,开展了为期4个月的“护网行动”,对全省所有的业务系统进行全面的安全检查,成立了护网行动小组。“非常荣幸的”我们研发的电网机巡智能管控平台...
36-3 shiro越权 - shiro越权漏洞复现
weixin_43263566的博客
04-16 144
我们现在访问网站的admin页面,网站会先对我们当前的用户权限进行验证,没有通过就会跳转到登录页面,让我们的登录一个有对应权限的账号。注意:因为靶场会进行权限验证所以访问会比较慢。IP + 8080 端口访问。正常访问admin的情况。加上payload的情况。
shiro权限绕过
m0_67284865的博客
08-21 1093
shiro权限绕过原理解析加漏洞复现
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值