shiro历史漏洞分析—CVE-2020-11989/CVE-2020-13933

最新推荐文章于 2024-07-25 09:37:56 发布
最新推荐文章于 2024-07-25 09:37:56 发布
阅读量1.5k 收藏 1
点赞数
分类专栏: 漏洞分析及复现 文章标签: 安全 java web安全
原文链接:https://xz.aliyun.com/t/11633#toc-33
版权

声明

出品|先知社区(ID:alter99)

以下内容,来自先知社区的alter99作者原创,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,长白山攻防实验室以及文章作者不承担任何责任。

CVE-2020-11989

漏洞信息

漏洞编号:CVE-2020-11989 / SHIRO-782
影响版本:shiro < 1.5.3
漏洞描述:在Shiro<1.5.3的情况下,将Shiro与Spring Controller一起使用时,相应请求可能会导致身份验证绕过。
漏洞补丁:Commit
参考: 腾讯安全玄武实验室Ruilin师傅 边界无限 淚笑师傅

这个漏洞有两种绕过方式,分别由腾讯安全玄武实验室的Ruilin师傅和来自边界无限的淚笑师傅报告

漏洞分析 —— 两次解码绕过

限制

这个场景下需要一些限制条件,首先配置文件的ant风格需要是*而不是**,测试发现,?也可以,另外controller需要接收的request参数(@PathVariable)的类型需要是String,否则将会出错。

图片

复现

首先复现一下,测试版本 1.5.2。
编写Controller

@RequestMapping("/toJsonList/{name}")
    @ResponseBody
    public List<User> toJsonList(@PathVariable String name){
        System.out.println("返回json集合数据");
        User user1 = new User();
        user1.setName("alter1");
        user1.setAge(15);
        User user2 = new User();
        user2.setName("alter2");
        user2.setAge(12);
        List<User> userList = new ArrayList<User>();
        userList.add(user1);
        userList.add(user2);
        return userList;
    }

配置对应的shiro.ini

[urls]
/toJsonList/* = authc

此时请求/toJsonList/aaa那么将会被禁止。

图片

但是这里我们可以通过url双编码的方式来绕过。

/ -> %2f ->%25%32%66

图片

测试发现下面四种组合只有前两组可以绕过

yes
/toJsonList/a%25%32%66a
/toJsonList/%25%32%66

no
/toJsonList/%25%32%66a
/toJsonList/a%25%32%66

分析

首先要清楚Shiro支持 Ant 风格的路径表达式配置。ANT 通配符有 3 种,如下所示:

通配符说明
?匹配任何单字符
*匹配0或者任意数量的字符
**匹配0或者更多的目录

解释一下就是/** 之类的配置,匹配路径下的全部访问请求,包括子目录及后面的请求,如:/admin/** 可以匹配 /admin/a 或者 /admin/b/c/d 等请求。

对于/*的话 ,单个*不能跨目录,只能在两个/之间匹配任意数量的字符,如/admin/* 可以匹配 /admin/a 但是不能匹配 /admin/b/c/d。

那么问题来了,如果我们将其配置为/toJsonList/*,但是我们访问形如/toJsonList/a/b这种路径,此时就会绕过访问权限。

我们还记得为了修复CVE-2020-1957,shiro在1.5.2版本进行了更新,将request.getRequestURI()修改为request.getContextPath(),request.getServ-letPath()、request.getPathInfo() 拼接构造uri。

根据网上师傅们的总结,这几个方法的差异性如下:

  • request.getRequestURL():返回全路径;

  • request.getRequestURI():返回除去Host部分的路径;

  • request.getContextPath():返回工程名部分,如果工程映射为/,则返回为空;

  • request.getServletPath():返回除去Host和工程名部分的路径;

  • request.getPathInfo():仅返回传递到Servlet的路径,如果没有传递额外的路径信息,则此返回Null;

第一次解码发生在request.getServletPath()

图片

第二次解码发生在

decodeAndCleanUriString() -> decodeAndCleanUriString() -> decodeRequestString() -> URLDecoder.decode()

图片

因此org.apache.shiro.web.util.WebUtils#getRequest-Uri进行了两次解码,将/toJsonList/a%25%32%66a解码成/toJsonList/a/a

接着就走到org.apache.shiro.util.AntPathMatch-er#doMatch进行权限验证,/toJsonList/a/a不满足配置中的toJsonList/*,因此成功绕过。

但还要看Spring是怎么对其进行解析的,在org.s-pringframework.web.uti.UrlPathHelper#getPathWithinApplication中,将url解析为/toJsonList/a%2fa,这样其实就表示/toJsonList/{name}中的name值为a%2fa。

图片

分析完之后, 也就解释了为什么下面四种组合只有前两组可以绕过
(这种二次解码的方式我测试只适用于1.5.2的版本,之前的版本使用a%25%32%66a测试,因为只有一次解码,会跳转至登陆界面;a%2fa测试直接返回400 Bad Request,应该是请求的问题,希望能有师傅帮忙解答一下)

漏洞分析 —— 根路径差异化解析绕过

限制

  1. 若 Shiro >= 1.5.2 的话,应用不能部署在根目录,如果为根目录则 context-path 为空, CVE-2020-1957 更新补丁将 URL 格式化。

  2. Spring 控制器中没有另外的权限校验代码
    #### 复现
    本次复现使用的是1.4.2版本的shiro所以应用根目录是什么都没有关系
    配置为

/alter/* = authc
/** = anon

新增一个controller

@RequestMapping("/alter/test")
@ResponseBody
public List<User> test(){
 User user1 = new User();
 user1.setName("alter");
 user1.setAge(15);
 List<User> userList = new ArrayList<User>();
 userList.add(user1);
 return userList;
}

输入地址:

http://localhost:8080/;/shirodemo/alter/test

org.apache.shiro.web.filter.mgt.PathMatchingFilterChainResolver#getChain会进行如下操作获取uri

图片

此时uri结果为/,绕过配置/alter/* = authc,符合配置/** = anon,达到绕过目的。Spring在处理uri时直接进行路径标准化,去掉了分号

图片

图片

Shiro < 1.5.2版本的话,根路径是什么没有关系

图片

漏洞修复

Shiro在Commit中修改了URL获取的逻辑,不单独处理context-path,这样不会导致绕过,同时也避免了二次URL解码的问题。

回退了WebUtils#getRequestUri的代码,并将其标记为@Deprecated

图片

可以看到,shiro建议使用getPathWithin-Application()方法获取路径减去上下文路径,或直接调用HttpServletRequest.getRequestURI()方法获取。

在WebUtils#getPathWithinApplication方法,修改了使用RequestUri去除 ContextPath 的方式,改为使用 getServletPath(request) + getPathInfo(request))。然后使用removeSemicolon方法处理分号问题,normalize方法进行路径标准化。

图片

图片

CVE-2020-13933

漏洞信息

**漏洞编号:**CVE-2020-13933 / CNVD-2020-46579
**影响版本:**shiro < 1.6.0
**漏洞描述:**Shiro 由于处理身份验证请求时存在权限绕过漏洞,特制的HTTP请求可以绕过身份验证过程并获得对应用程序的未授权访问。
**漏洞补丁:**Commit

漏洞分析

这个CVE其实就是对CVE-2020-11989 patch的绕过。上一个CVE使用getServletPath(request)+get-PathInfo(request))获取uri,回顾一下:

  • request.getServletPath():返回除去Host和工程名部分的路径;

  • request.getPathInfo():仅返回传递到Servlet的路径,如果没有传递额外的路径信息,则此返回Null;

Shiro在getChain内进行权限验证,首先通过getPathWithinAppli-cation(request)获得uri。

从下图可以看到,更新后使用HttpServlet-Request.getRequestURI() 方法获取uri;然后使用removeSemicolon去除uri中的分号,这里去除的是分号及分号后面的内容;然后使用normalize进行路径标准化。

图片

此时得到的路径为/hello,绕过了配置中的权限。
接着看Spring是怎么处理路径的:
在org.springframework.web.util#UrlPathHelper中的getPathWithinApplicat-ion方法内,使用getRequest-Uri(request)方法获取uri

图片

与Shiro处理的差异达到既绕过Shiro权限验证又成功访问的目的。

图片

漏洞修复

shiro在1.6.0版本中,org.apache.shiro.spring.web-#ShiroFilterFactoryBean中增加了/**的默认路径配置,使其可以全局匹配进行过滤校验

图片

默认的/**配置对应一个全局的filter:InvalidRequestFilter,这个类继承了 AccessCon-trolFilter。用来过滤特殊字符(分号、反斜线、非ASCII码字符),并返回 400 状态码。

图片

长白山攻防实验室
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Apache Shiro权限绕过漏洞 (CVE-2020-11989) 挖掘分析和复现
smellycat000的专栏
11-12 1824
聚焦源代码安全,网罗国内外最新资讯!1.1 状态完成漏洞挖掘条件分析漏洞复现。1.2 简介Apache Shiro作为Java框架,可被用于身份认证、授权等任务。整合Apache S...
Apache Shiro身份验证绕过漏洞(CVE-2020-13933)
07-17
直接使用java -jar srping....war命令运行即可 执行之后,访问http://主机的IP:8888/admin/*或者http://主机的IP:8888/login
Shiro权限绕过漏洞CVE-2020-1957,CVE-2020-11989CVE-2020-13933
weixin_46411728的博客
07-22 1381
Shiro权限绕过漏洞CVE-2020-1957,CVE-2020-11989CVE-2020-13933
一文了解往年热门的漏洞-shiro
mashiro_hibiki的博客
05-27 824
框架是一个功能强大且易于使用的 Java 安全框架,它执行身份验证、授权、加密和会话管理。借助 Shiro 易于理解的 API,您可以快速轻松地保护任何应用程序——从最小的移动应用程序到最大的 Web 和企业应用程序。
Apache Shiro 身份验证绕过漏洞 (CVE-2020-11989)
egegerhn的博客
09-01 1112
shiro CVE-2020-13933
王嘟嘟的博客
02-19 1295
CVE-2020-1957,补充一下笔记,在CVE-2020-1957的基础上进行了绕过。影响版本:Apache Shiro < 1.6.0。
Apache Shiro 身份验证绕过漏洞 复现(CVE-2020-11989)
渗透测试研究中心
11-29 461
0x00 漏洞简述Apache Shiro 1.5.3之前的版本中,当将Apache Shiro与Spring动态控制器一起使用时,精心编制的请求可能会导致绕过身份验证,如果直接访问 /shiro/admin/page ,会返回302跳转要求登录,访问 /;/shiro/admin/page , 就能直接绕过Shiro权限验证,访问到/admin路由中的信息0x01 漏洞影响Apache Shi...
其他的 框架安全:Apache Shiro 未授权访问漏洞.(CVE-2020-1957 || CVE-2020-11989
网络安全领域___专研者.
05-12 551
Apache Shiro 是一个强大且易用的Java安全框架,它为应用程序提供了身份验证、授权、加密和会话管理等常见的安全功能。漏洞大多会发生在登录处,返回包里包含remeberMe=deleteMe字段.(Shiro 这个属于第三方的,Apache 中的 Shiro
Apache Shiro 认证绕过漏洞 CVE-2020-1957 漏洞复现
Senimo
07-26 5823
Apache Shiro 认证绕过漏洞 CVE-2020-1957 漏洞复现一、漏洞描述二、漏洞影响三、漏洞复现1、环境搭建2、漏洞复现四、漏洞POC五、参考链接 一、漏洞描述 Apache Shiro 是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。 CVE-2020-1957,Spring Boot中使用 Apache Shiro 进行身份验证、权限控制时,可以精心构造恶意的URL,利用 Apache Shiro 和 Spring Boot
Apache Shiro < 1.5.3权限绕过漏洞分析(CVE-2020-11989)
m0_49443776的博客
02-27 1181
此篇为上一篇分析文章的后续,如果对上一篇感兴趣,也可以去看一下,或许会对你理解本次漏洞有点帮助。 0x01 漏洞简介 Apache Shiro作为常用的Java安全框架,拥有执行身份验证、授权、密码和会话管理等功能,可以和不同的框架进进行整合,比如spingboot、spring等等,使用十分方便。本次漏洞是因为shiro和springboot之间对请求的解析差异导致的绕过。算是shiro漏洞分析二步曲。 0x02 环境搭建 环境我放在github上了,地址:https://github.com/apwg
CVE-2020-13933: Apache Shiro 权限绕过漏洞分析
爱国小白帽
09-22 5741
360CERT [三六零CERT](javascript:void(0)???? 今天 报告编号:B6-2020-092201 报告来源:360CERT 报告作者:360CERT 更新日期:2020-09-22 0x01 漏洞简述 2020年08月18日, 360CERT监测发现 Apache Shiro 发布了 Apahce Shiro 权限绕过 的风险通告,该漏洞编号为 CVE-2020-13933漏洞等级:高危,漏洞评分:8.0。 Apahce Shiro 由于处理身份验证请求时出错 存在 权限绕
CVE-2020-11989环境
11-20
生命是一条美丽而曲折的幽径,路旁有妍花的丽蝶,累累的美果,但我们很少去停留观赏,或咀嚼它,只一心一意地渴望赶到我们幻想中更加美丽的豁然开朗的大道。然而在前进的程途中,却逐渐树影凄凉,花蝶匿迹,果实无存...
CVE-2020-13933 靶场: shiro 认证绕过漏洞.zip
01-16
在靶场中,安全专业人员可以模拟攻击者的行为,发现系统和应用的漏洞,并进行渗透测试,从而及时修复和改进防御机制。同时,这也为防御方提供了锻炼机会,通过对抗攻击提高防御能力。 靶场的搭建还促进了团队协作与...
shiro认证绕过漏洞分析(CVE-2020-13933)1
08-03
在讨论Shiro的认证绕过漏洞CVE-2020-13933之前,我们首先需要了解Shiro的基本工作原理。 Shiro的认证过程通常包括以下几个步骤: 1. 用户提交凭证(如用户名和密码)。 2. Shiro的 Realm 对象验证这些凭证, Realm ...
极速下载!青苹果系统Win7旗舰版:稳定安全
lihuiyun184291的博客
07-25 426
今天系统之家小编给大家带来了青苹果系统Win7旗舰版镜像,该版本系统离线制作而成,安全无病毒,还升级了防火墙功能,大家安装后时刻都能放心操作。同时,它是在保持原有的功能并适度优化,保留下来的功能轻松满足大家的使用需求,系统稳定性也很高,运作顺畅不卡顿。
微软蓝屏事件引发对构建更加稳固和安全的网络环境的思考
lupai的博客
07-24 496
综上所述,构建更加稳固和安全的网络环境需要政府、企业和用户共同努力,从政策、技术、用户行为等多个方面入手,形成全方位、多层次的网络安全防护体系。构建更加稳固和安全的网络环境是一个系统工程,需要从多个方面入手,包括政策、技术、用户行为等多个层面。建立完善的应急响应机制,制定应急预案和演练计划,提高应对网络攻击和突发事件的能力。鼓励和支持网络安全技术的研发和创新,推动新技术在网络安全领域的应用和推广。加强对用户的网络安全教育,提高用户的网络安全意识和防范能力。
2024安全大模型技术与市场研究报告
最新发布
cybtec的博客
07-25 456
2024安全大模型技术与市场研究报告
网络战时代的国家安全:策略、技术和国际合作
2301_79955948的博客
07-24 1163
网络战时代的国家安全涉及到策略、技术和国际合作等多个方面。
Apache Shiro 目录穿越漏洞 CVE-2023-34478
07-29
很抱歉,但我没有找到关于Apache Shiro目录穿越漏洞CVE-2023-34478的相关信息。根据我所了解的情况,Apache Shiro在2022年6月29日披露了一个权限绕过漏洞CVE-2022-32532),该漏洞可能导致未经授权的远程攻击者绕过身份认证。Apache官方已发布修复此漏洞的版本,并建议用户尽快升级至Apache Shiro 1.9.1及以上版本以确保安全。\[1\]\[2\]\[3\] 请注意,我的回答是基于提供的引用内容,如果有任何其他信息或更新,请参考官方渠道获取最新信息。 #### 引用[.reference_title] - *1* *3* [[ 漏洞复现篇 ] Apache Shiro 身份认证绕过漏洞 (CVE-2022-32532)](https://blog.csdn.net/qq_51577576/article/details/126155240)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [Apache Shiro权限绕过漏洞CVE-2022-32532)](https://blog.csdn.net/weixin_54438700/article/details/128324850)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值