转载:SpringBlade框架JWT认证缺陷漏洞CVE-2021-44910

最新推荐文章于 2024-03-26 10:48:19 发布
最新推荐文章于 2024-03-26 10:48:19 发布
阅读量7.6k 收藏 10
点赞数 7
文章标签: 安全 web安全
原文链接:https://forum.butian.net/share/973
版权

转载自 奇安信攻防社区-SpringBlade框架JWT认证缺陷漏洞

文章中bladex的SIGN_KEY只在截图中体现,没有贴出来,这里补充下

bladexisapowerfulmicroservicearchitectureupgradedandoptimizedfromacommercialproject

---------------------------------------分割线--------------------------------------

1.前言

在某次代码审计项目中,发现项目代码是基于SpringBlade框架实现的,于是在审计的过程中,顺带着挖到了SpringBlade框架的一个0day漏洞。CVE编号:CVE-2021-44910

2.漏洞分析

SpringBlade前端通过webpack打包发布的,可以从其中找到app.js获取大量接口:


然后直接访问接口:api/blade-log/api/list


直接搜索“请求未授权”,定位到认证文件:springblade/gateway/filter/AuthFilter.java

2.1 错误的认证逻辑

我们看下代码逻辑:
(1)首先,从ServerWebExchange类中获取到uri,然后判断是否跳过:


跟进isSkip函数,如下:


判断路径是否在不需要认证的名单中,跟进getDefaultSkipUrl函数,看不需要认证的名单有哪些:


只要符合以上路径则不需要权限校验,否则都是需要权限校验的。而程序核心业务逻辑都是在/api/下的,显然需要授权。
(2)回到AuthFilter,接下来通过两种方式获取token,如果两者都为空时,则提示“缺失令牌,鉴权失败”。


我们跟进下AuthProvider.AUTH_KEY,看需要传入认证字符串的字段名称:



所以需要get或者在headers中有blade-auth,并从其中获取到鉴权字符串。
(3)解析token,判断token是否合法:


先看下getToken,实现如下:


这里解释下,为什么要从第七位取字符串,因为BEARER格式的认证串为:bearer[空格]认证字符。
接着看parseJWT方法的实现:


使用jwt密钥,对认证字符串进行解密,然后返回其内容,**如果解密结果不为空,则直接绕过认证。**那么继续往下,找JWT的解密过程及密钥:
看下JwtUtil.BASE64_SECURITY的值,如下:


是由TokenConstant.SIGN_KEY进行base64加密得来的。看一下TokenConstant.SIGN_KEY:


由此,我们可以伪造auth认证字符串了,测试:


带入接口测试:


成功伪造了任意用户进行登录。

[其他]
1、/api/blade-log/api/list接口中会泄漏账号密码,只要管理员登录过


2、部分情况下接口的前缀会被改,blade部分,可以从前端的app.js里面看得到完整接口。

2.2 权限提升

其实刚才伪造的用户只能算是普通用户,在测试时候,发现还有些接口用伪造的token访问不了


这个接口是查看系统用户的,结果没权限。找下其代码:


其中使用了PreAuth接口进行了鉴权,看下其鉴权方式:


调用了hasRole函数进行鉴权,找一下hasRole实现方式:(实现代码在:org/springblade/blade-core-secure/3.0.2/blade-core-secure-3.0.2.jar!/org/springblade/core/secure/auth/AuthFun.class)


跟进this.hasAnyRole方法:


跟进一下SecureUtil._getUser_方法,如下:


从web容器内部获取BLADE_USER的相关属性,如果没获取到的话,则会使用另外一个getUser方法,实现如下:


直接从请求头中获取blade-auth,然后进行jwt解密,将各个属性set给bladeUser类。
回到AuthFun.class,往下看:


其中r的来源是hasAnyRole被调用的时候传入的,我们看下传入的值:


所以,只需要我们在构造jwt的时候,加上role_name且其值为administrator,则可以实现权限提升。


试试token是否有效:


可见,权限进行了提升。
[注意]

1、/api/blade-user/user-list 接口会泄漏所有账号密码,不过需要administrator权限,不加role_name时,也可以,但无内容。


恰巧其登录时,直接用md5即可,所以,你懂的。
2、一般admin默认安装时,对应的id为:1123598811738675201,部分接口需要有对应的user_id,可以尝试。如:api/blade-user/info接口
3、jwt的密钥SIGN_KEY硬编码到jar里面了,而且不是写在配置文件里面,开发根本不会关注到这点,所以使用该框架的项目都受到影响。

3.修复方案

1、对于框架使用者而言,其实修改SIGN_KEY已经就让漏洞无法利用了
2、对于框架作者而言:
1)jwt的密钥,放在配置文件中,并提示用户修改。jar包里面硬编码改起来太麻烦
2)修改认证流程,本质还是认证流程出了问题。建议把用户账号、密码密文放到jwt里面,然后认证过程中,通过jwt里面的账号、密码进行鉴权。

hrayha
关注
  • 7
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
SpringBlade tenant/list SQL 注入漏洞复现( CVE-2024-33332)
0xSec
05-31 638
SpringBlade 后台框架 /api/blade-system/tenant/list 路径存在SQL注入漏洞,攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
SpringBlade dict-biz/list SQL 注入漏洞复现
最新发布
0xSec
04-16 1371
SpringBlade 后台框架/api/blade-system/dict-biz/list 路径存在SQL注入漏洞,攻击者除了可以利用SQL注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
转载】一个人的安全部系列
HRay's blog
07-15 825
注:一个人的安全部主要问题在于人力资源的不足,甚至当只有一个人力预算的情况下,安全预算可能严重不足的,但是该有的东西还是不能少,只是实现上偏简单粗暴一些,转两篇文章记录一下,作者写的很详细,方便自己查漏补缺 一个人的安全部之企业信息安全建设规划 一个人的安全部之大话企业数据安全保护 ...
BladeX超级大坑——没注意pom文件中依赖的版本
weixin_55285982的博客
04-06 3386
从gitee上拉了一个BladeX的开源项目https://gitee.com/smallc/SpringBlade.git,就是死活跑步起来,报了各种错误,心态炸裂——经历了N多次,静下心来看日志信息,终于发现是Nacos总是连接不上,然后又去pom文件中查看Nacos版本,发现了大坑原来是Nacos版本不对。在更换版本后,终于跑通了。 ...
Blade-X日志接口未授权访问
spkiddai
07-30 2548
CNVD-2022-44335 blade-x未授权访问
漏洞介绍及修复建议(漏洞汇总,建议收藏后期会不断更新)
Alone hackers的博客
03-07 7212
漏洞介绍及修复建议(漏洞汇总,建议收藏后期会不断更新)
漏洞复现】(1day)Bladex快速开发平台sql注入漏洞
weixin_56297026的博客
12-20 1147
fofa语法:body="https://bladex.vip/"
SpringBlade-权限缺陷】API鉴权逻辑缺陷漏洞
06-29 7036
【API鉴权】
【复现】SpringBlade SQL 注入漏洞_22
fushuang333的博客
01-18 2322
【复现】SpringBlade SQL 注入漏洞SpringBlade 是由一个商业级项目升级优化而来的SpringCloud微服务架构,采用Java8 API重构了业务代码,完全遵循阿里巴巴编码规范。
SpringBlade error/list SQL 注入漏洞复现
0xSec
03-12 992
SpringBlade 框架后台 /api/blade-log/error/list路径存在SQL注入漏洞,攻击者除了可以利用SQL注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
SpringBlade export-user SQL 注入漏洞
waxcj的博客
01-19 531
【代码】SpringBlade export-user SQL 注入漏洞
SpringBlade:SpringBlade 是一个由商业级项目升级优化而来的SpringCloud分布式微服务架构、SpringBoot单体式微服务架构并存的综合型项目,采用Java8 API重构了业务代码,完全遵循阿里巴巴编码规范。采用Spring Boot 2.4 、Spring Cloud 2020 、Mybatis 等核心技术,同时提供基于React和Vue的两个前端框架用于快速搭建企业级的SaaS多租户微服务平台
05-01
SpringBlade微服务开发平台 采用前后端分离的模式,前端开源两个框架: (基于 React、Ant Design)、 (基于 Vue、Element-UI) 后端采用SpringCloud全家桶,并同时对其基础组件做了高度的封装,单独开源出一个框架: 已推送至Maven中央库,直接引入即可,减少了工程的臃肿,也可更注重于业务开发 集成Sentinel从流量控制、熔断降级、系统负载等多个维度保护服务的稳定性。 注册中心、配置中心选型Nacos,为工程App.svelte的同时加强各模块之间的联动。 使用Traefik进行反向代理,监听后台变化自动化应用新的配置文件。 极简封装了多租户底层,用更少的代码换来拓展性更强的SaaS多租户系统。 借鉴OAuth2,实现了多终端认证系统,可控制子系统的token权限互相隔离。 借鉴Security,封装了Secure模块,采用JWT做Token
spring-boot-jwt-sample:spring-boot-jwt-sample
05-16
spring-boot-jwt-sample spring boot整合jwt完成接口授权认证 1、注册用户(POST) { "id": 1, "userName": "admin", "loginName": "admin", "password": "admin", "roles": "admin", "email": "admin@ameizi...
spring-security-jwt-1.0.10.RELEASE-API文档-中文版.zip
05-09
赠送jar包:spring-security-jwt-1.0.10.RELEASE.jar; 赠送原API文档:spring-security-jwt-1.0.10.RELEASE-javadoc.jar; 赠送源代码:spring-security-jwt-1.0.10.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
shrio-with-jwt-spring-boot-starter:spring-boot环境下基于JWT Token的无状态shiro权限验证框架
05-14
如需了解本框架的设计细节,请阅读:这篇文章 简介 用户权限管理是每个信息系统最基本的需求,对基于 Java 的项目来说,最常用的权限管理框架就是大名鼎鼎的 Apache Shiro。Apache Shiro 功能非常强大,使用广泛,...
grpc-jwt-spring-boot-starter:具有JWT授权的gRPC框架Spring Boot Starter
03-28
具有Spring Boot Starter-gRPC Java JWT ... < artifactId>grpc-jwt-spring-boot-starter ${version} 2.在服务方法中添加@Allow批注 您需要做的就是在服务实现中注释您的方法。 @GRpcService public clas
jwt-angular-spring-boot-security:JWT CORS Angular Spring Boot ACL安全认证示例
05-19
jwt-angular-spring-boot-security快速概述预安装的要求:Java 1.8 +,Maven,Node.js,Node Package Manager(NPM),MySQL。设置:(在Angular和Spring-Boot端都需要一些初始化命令) 转到要在其中安装项目的目录...
漏洞复现】SpringBlade error_list SQL 注入漏洞
https://blog.echo234.cn/
03-26 576
SpringBlade 是一个由商业级项目升级优化而来的 SpringCloud 分布式微服务架构、SpringBoot 单体式微服务架构并存的综合型项目。框架后台/api/blade-log/error/list路径存在安全漏洞,攻击者利用该漏洞进行SQL注入攻击。
JWT身份认证-安全漏洞
weixin_43263019的博客
05-03 3549
一、JWT介绍 JWT(JSON Web Token) 是WEB上用于确认客户端和服务端用户身份认证的token令牌,保存了用户的登录信息。用户登录,由服务端用加密算法对JWT进行签发,前端发送带有用户信的JWT由服务端校验(用户名、失效等信息),并将令牌保存在前端本地。 JWT官网默认的示例,令牌采用 base64 编码,并由三部分组成 1、头部(Header),JWT元数据的JSON对象 { "alg":"HS256", # 签名使用的算法 "typ":"JWT" # token的类
spring-security jwt
07-28
Spring Security是Spring家族的一个安全管理框架,相比于另一个安全框架Shiro,它具有更丰富的功能。一般中大型项目都是使用Spring Security做安全框架,而Shiro上手比较简单。\[2\] JWT是一种用于身份验证和授权的开放标准,它定义了一种紧凑且自包含的方式来传输信息。JWT由三部分组成:头部、载荷和签名。头部包含了加密算法和类型信息,载荷包含了要传输的数据,签名用于验证数据的完整性和真实性。\[3\] 在Spring Security中集成JWT可以通过以下步骤实现: 1. 认证配置:配置Spring Security的认证流程,包括用户认证和生成JWT的逻辑。 2. 权限配置:配置Spring Security的权限控制,包括对不同角色和资源的访问控制。 通过以上配置,Spring Security可以使用JWT进行身份验证和授权,保护应用程序的安全性。 #### 引用[.reference_title] - *1* *2* [Spring Security+JWT简述](https://blog.csdn.net/jiangnb520/article/details/124921240)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [Spring Security 之 JWT介绍](https://blog.csdn.net/weixin_40972073/article/details/126844751)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值