shiro历史漏洞分析

最新推荐文章于 2025-02-20 15:22:31 发布
最新推荐文章于 2025-02-20 15:22:31 发布
阅读量1.4k 收藏 2
点赞数
分类专栏: 漏洞分析及复现 文章标签: java spring spring boot
原文链接:https://xz.aliyun.com/t/11633#toc-37
版权

声明

出品|先知社区(ID:alter99)

以下内容,来自先知社区的alter99作者原创,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,长白山攻防实验室以及文章作者不承担任何责任。

CVE-2020-17510

漏洞信息

**漏洞编号:**CVE-2020-17510 / CNVD-2020-60318
**影响版本:**shiro < 1.7.0
**漏洞描述:**第三种AntPathMatcher的绕过方式
**漏洞补丁:**Commit

漏洞分析

这个漏洞还是对AntPathMatcher的继续绕过,在CVE-2020-11989和CVE-2020-13933分别尝试了/的双重URL编码和 ; 的URL 编码绕过,归根到底这种方式还是因为Shiro与Spring对URI处理的差异化导致的。那么字符 . 是不是也可以进行绕过呢?其实是可以的(测试环境Shiro 1.6.0,SpringBoot 2.5.3),还是添加如下配置和Controller

map.put("/hello/*", "authc");
@GetMapping("/hello/{name}")
public String hello(@PathVariable String name) {
    return "hello";
}

当Shiro获得的uri为/hello时,是无法和/hello/*匹配的,所以就在/hello后面加上%2e,这样Shiro解码之后变成/hello/.,然后路径标准化成为/hello,绕过身份验证

图片

对于Spring来说,正如之前讲的,Spring Boot 版本在小于等于 2.3.0.RELEASE时,会对uri进行解码然后路径标准化,这样得到的路径为/hello,没有页面与之匹配。所以只有当 Spring Boot 版本在大于 2.3.0.RELEASE时标准化路径后/hello/%2e,然后解码/hello/.

图片

图片

下面的payload都可以使用:

/%2e
/%2e/
/%2e%2e
/%2e%2e/

漏洞修复

在Commit中发现org.apache.shiro.spring.web下新增了ShiroUrlPathHelper类,属于UrlPathHelper的子类,重写了getPathWithinApplication和getPa-thWithinServletMapping两个方法

图片

通过相关配置后,Spring就会使用Shiro的UrlPathHelper,这样两者判断逻辑一致,就不存在因差异性问题而导致的绕过了。

其实我认为1.7.1才算真正的更新,因为它是依次对原uri和去除uri尾部斜线的uri进行验证,这样就可以避免因直接去除尾部uri导致/hello和/hello/*不匹配而导致的绕过问题。

补丁问题

问题一

根据官方发布的公告,发现其实需要配置shiro-spring-boot-web-starter才有效

if you are NOT using Shiro’s Spring Boot Starter
(`shiro-spring-boot-web-starter`), you must configure add the
ShiroRequestMappingConfig auto configuration[1] to your application or
configure the equivalent manually[2].
[1] https://shiro.apache.org/spring-framework.html#SpringFramework-WebConfig
[2]https://github.com/apache/shiro/blob/shiro-root-1.7.0/support/spring/src/main/java/org/apache/shiro/spring/web/config/ShiroRequestMappingConfig.java#L28-L30

由于我导入的dependency如下

<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-web</artifactId>
    <version>1.6.0</version>
</dependency>
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>1.6.0</version>
</dependency>

如果直接将版本升为1.7.0的话,其实并没有触发更新,原payload还是可以绕过。
只有按照上面官网所述的两种配置方式修改后,才能防御成功

问题二

在旧版的SpringBoot 中,当我们需要获取当前请求地址的时候,直接通过如下方式获取:

//org.springframework.web.servlet.handler#getHandlerInternal
String lookupPath = this.getUrlPathHelper().getLookupPathForRequest(request);

但是在新版Spring里边,通过如下方式获取

String lookupPath = this.initLookupPath(request);

initLookupPath()代码如下:

protected String initLookupPath(HttpServletRequest request) {
    if (this.usesPathPatterns()) {
        request.removeAttribute(UrlPathHelper.PATH_ATTRIBUTE);
        RequestPath requestPath = ServletRequestPathUtils.getParsedRequestPath(request);
        String lookupPath = requestPath.pathWithinApplication().value();
        return UrlPathHelper.defaultInstance.removeSemicolonContent(lookupPath);
    } else {
        return this.getUrlPathHelper().resolveAndCacheLookupPath(request);
    }
}

如果this.usesPathPatterns() == true的话,就可以绕开问题一中我们配置的ShiroUrlPathHelper

图片

此时也成功绕过。

图片

所以这就存在一个矛盾:只有Spring Boot 版本在大于 2.3.0.RELEASE才能触发这个漏洞,修复之后由于版本问题,SpringBoot又不走那条语句。

另外在配置的时候,当Spring Boot版本在小于等于2.3.0.RELEASE,如2.1.5.RELEASE,时,this.get-UrlPathHelper()并不是ShiroUrlPathHelper,不清楚是不是配置问题还是版本兼容问题。

图片

CVE-2020-17523

漏洞信息

**漏洞编号:**CVE-2020-17523 / CNVD-2021-09492
**影响版本:**shiro < 1.7.1
**漏洞描述:**Shiro 1.7.1 之前的版本,在将 Shiro 与 Spring 结合使用时,特制的 HTTP 请求可能会导致身份验证绕过。
**漏洞补丁:**Commit

漏洞分析

如CVE-2020-17510那样,这个漏洞可以使用空格%20进行绕过。

我们输入路径为http://localhost:8080/hello/%20,进入getChain,经过路径获取后要进行权限的匹配与验证

图片

注意,获取的路径后面有空格,这里主要看一下/hello/和/hello/*比较时发生了什么经过:

pathMatches(pathPattern,requestURI)-> pathMatcher.matches(pattern,path)->match(pattern,source)-> doMatch(pattern, path, true) 来到了主要的判断方法doMatch()。

其中StringUtils.tokenizeToStringArray()方法是将它的参数,也就是传进来的两个路径拆解成字符串数组,然后进行比较。进入方法,可以看到当对空格进行转换时,直接trim为空。

图片

图片

这样就导致与shiro中的配置本意想违背,导致绕过。

图片

然后在Spring中的处理时,uri又包含空格,这样就能访问到/hello/%20页面

图片

漏洞修复

在Commit中,主要修复点AntPathMatcher.java,在tokenizeToStringArray方法中加了false和true两个参数

图片

可以看到,当第三个参数为false时,即trimTokens为false,此时就不会对token进行trim。

图片

CVE-2021-41303

漏洞信息

**漏洞编号:**CVE-2021-41303 / SHIRO-825
**影响版本:**shiro < 1.8.0
**漏洞描述:**1.8.0 之前的Apache Shiro,在Spring Boot中使用Apache Shiro 时,特制的HTTP请求可能会导致身份验证绕过。用户应该更新到Apache Shiro 1.8.0。
**漏洞补丁:**Commit
**参考:**threedr3am师傅

漏洞分析

根据threedr3am师傅博客提供的方向,看了一Shiro1.7.1前后PathMatchingFilterChainResolver-#getChain的对比

图片

图片

发现在1.7.1版本中,先是对pathPattern和requestURI进行比较,比较成功,返回:

filterChainManager.proxy(originalChain, pathPattern);

否则对删除尾部斜线的pathPattern和requestURI进行比较,比较成功,跳出循环,返回:

filterChainManager.proxy(originalChain, requestURINoTrailingSlash);

但是正常访问,都会返回第一个proxy,什么时候才能绕过第一个比较并符合第二个比较呢?
可以看到,两者差别是对uri尾部斜线的处理,所以当在uri尾部加一个/,就会进入第二种比较方式。

图片

结合之前的多次调试再根据threedr3am师傅博客中的认证,可以知道shiro的认证鉴权会根据配置的先后顺序去依次实施,所以当我有如下配置时:

map.put("/admin/*", "authc");
map.put("/admin/page", "anon");

循环中先匹配到/admin/*(这里是通过while语句对去除尾部斜线的uri进行匹配)然后跳出循环进入到

filterChainManager.proxy(originalChain, requestURINoTrailingSlash);,

注意,这里真正的参数就是去除尾部斜线的uri,也就是/admin/page,所以在DefaultFilterChain-Manager#getChain中得到的权限是anon,这样就达到绕过目的。

图片

图片

漏洞修复

直接将filterChainManager.proxy的第二个参数改为pathPattern,直接传配置中的uri了

图片

CVE-2022-32532

漏洞信息

**漏洞编号:**CVE-2022-32532
**影响版本:**shiro < 1.9.1
**漏洞描述:**在1.9.1之前的Apache Shiro中,RegexRequestMatcher可能会被错误配置,从而在某些servlet容器上被绕过。应用程序使用RegExPatternMatcher与.的正则表达式可能容易被授权绕过。
**漏洞补丁:**Commit
**参考:**4ra1n师傅

漏洞分析

这是最新的一个洞,看Shiro发布的公告显示,是由于RegexRequestMatcher的错误配置导致的问题。

简单了解了一下,RegexRequestMatcher和Ant-PathMatcher类似,都是Shiro用于路径匹配的配置,只是RegexRequestMatcher需要用户自己配置。

根据4ra1n师傅的分析,可以知道,正常正则表达式.并不包含\r和\n字符

图片

修改成如下代码就可修复问题

// flag为Pattern.DOTALL时,表达式 .可以匹配任何字符,包括行结束符。
Pattern pattern = Pattern.compile(regex,Pattern.DOTALL);

图片

那么回头看一下RegexRequestMatcher用于匹配的代码

public boolean matches(String pattern, String source) {
    if (pattern == null) {
        throw new IllegalArgumentException("pattern argument cannot be null.");
    } else {
        Pattern p = Pattern.compile(pattern);
        Matcher m = p.matcher(source);
        return m.matches();
    }
}

可以发现,当pattern存在带.的正则表达式并且source中存在\r或\n字时,此时判断错误。

此时我们在配置完RegexRequestMatcher之后增加如下Controller

@RequestMapping(path = "/alter/{value}")
public String alter(@PathVariable String value) {
    System.out.println("绕过成功");
    return "绕过成功"+value;
}

增加如下配置

//myFilter.java中设置成需要权限
manager.addToChain("/alter/.*", "myFilter");

这样正常访问/alter/aaa是被拒绝的,但是当访问/alter/a%0aaa或/alter/a%0daa时就会绕成验证,访问成功

图片

图片

图片

这个洞限制还是比较多的,既要服务器配置了RegExPatternMatcher,又要设置带有.的正则表达式

漏洞修复

在Commit可以看到,对compile方法设置了flag

图片

一次历史漏洞分析与复现的全部过程
HBohan的博客
02-26 2616
环境需求 系统:Windows10 中间件:https://dlcdn.apache.org/tomcat/tomcat-9/v9.0.58/bin/apache-tomcat-9.0.58-windows-x64.zip 数据库:用phpstudy携带的5.7.26版本即可 jspxcms安装包(部署到Tomcat用来复现):https://www.ujcms.com/uploads/jspxcms-9.0.0-release.zip jspxcms源码包(部署到IDEA进行分析):https://w
2024HVV在即| 最新漏洞CVE库(1.5W)与历史漏洞POC总结分享!
记录开发和安全学习过程中的点点滴滴
04-22 3159
也快到护网的时间了,每年的护网都是一场攻防实战的盛宴,那么漏洞库就是攻防红蓝双方人员的弹药库,红队人员可以通过工具进行监测是否存在历史漏洞方便快速打点,而蓝队则可以对资产进行梳理和监测历史漏洞,及时处理和修复,做好准备.
shiro1.7.1全包修补漏洞.rar
07-18
Shiro 1.7.1所需jar包漏洞修补最新包
Spring Boot项目Shiro1.7.1版本默认密钥的漏洞
UDWORLD的博客
09-06 3334
Shiro1.7.1版本默认密钥的漏洞
Shiro框架漏洞看了你就会了(含靶场复现)网络安全零基础入门到精通实战教程!
最新发布
白帽阿叁的博客
02-20 1180
CVE-2010-3863是Apache Shiro框架中存在的一个安全漏洞,它允许攻击者通过构造特定的URI请求来绕过身份验证和授权机制,从而访问受限的资源。这个漏洞主要影响Apache Shiro 1.1.0之前的版本以及JSecurity 0.9.x版本。CVE-2016-4437漏洞主要影响Apache Shiro的“rememberMe”功能,该功能允许用户在关闭浏览器后仍然保持会话。当该功能被启用时,Shiro会将用户的会话信息序列化并存储在一个cookie中,以便在用户重新访问时恢复会话。
Apache Struts 修复 OGNL 技术中可能存在的 RCE 缺陷
smellycat000的专栏
12-11 423
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队Apache 软件基金会发布 Struts 2 安全更新,修复了一个和 OGNL 技术相关的“很可能存在的远程代码执行“缺陷...
Apache Shiro 默认密钥致命令执行漏洞(反序列化攻击)
weixin_42845320的博客
06-24 3221
一、漏洞说明 最近阿里云发了漏洞短信,需要在已有的老项目中修复shiro远程命令执行漏洞,并修复了2套Java项目,不同项目修复方式有所不同,特写此篇博客,以作备忘,欢迎大家留言讨论。 1.1 漏洞描述 漏洞名称: 远程命令执行,利用漏洞能够获取系统权限,查看、篡改系统数据,构成信息泄露和运行安全风险 1.2 处置措施建议 针对远程命令执行漏洞,升级Shiro至最新版本,并且重新生成一个新的秘钥替换ciperKey,保证唯一且不要泄密; 二、漏洞修复过程 2.1 修改前事项 shiro需要升级到1.7.1
Apache Shiro权限绕过漏洞CVE-2022-32532)
weixin_54438700的博客
12-15 2968
Shiro是Apache旗下一个开源的Java安全框架,它具有身份验证、访问控制、数据加密、会话管理等功能,可以用于保护任何应用程序的安全,如移动应用程序、web应用程序等。2022年6月29日,Apache官方披露Apache Shiro权限绕过漏洞CVE-2022-32532),当 Apache Shiro 中使用 RegexRequestMatcher 进行权限配置,且正则表达式中携带“.”时,未经授权的远程攻击者可通过构造恶意数据包绕过身份认证。
Apache Shiro 反序列化漏洞分析与调试
在环境搭建方面,参考了两篇文章来了解Shiro反序列化的历史记录和具体的漏洞细节。为了进行远程调试,需要对Tomcat服务器进行设置。可以通过创建名为`debug.bat`的文件,设置JPDA_ADDRESS和JPDA_TRANSPORT环境变量,...
【技术分享】Shiro 权限绕过的历史线(下) .pdf
09-05
**0x5.4 漏洞分析** 分析发现,问题的关键在于Shiro处理URL时去除分号(`;`)的操作。在修复了之前CVE的代码中,Shiro会去除分号及其后面的内容,然后进行规范化处理。然而,当分号被编码为 `%3b` 并且与特定的路径...
Shiro 2.2反序列化漏洞攻击工具详解
Shiro框架在处理反序列化时出现漏洞可以被利用,允许攻击者执行任意代码或进行未授权的操作,这在Shiro的安全历史上有过相关的安全漏洞被公开。 根据标签 "shiro反序列化 安全工具" 可知,该工具专注于针对Shiro...
漏洞复现】 Shiro 反序列化漏洞
zkaqlaoniao的博客
11-09 3885
Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。Apache Shiro 1.2.4及以前版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro的默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令。该款工具特别适合初学者,配置了各种OA漏洞利用板块,还有shiro、struts2等框架漏洞漏洞利用板块,还有一键执行命令的功能!!
shiro权限绕过漏洞
m0_67392931的博客
08-30 1376
漏洞可以用以下方法复现,首先在spring-context-shiro.xml中,配置 /hello/* = authc;Apahce Shiro 由于处理身份验证请求时出错,存在“权限绕过漏洞”(漏洞编号:CVE-2020-11989),远程攻击者可以发送特制的HTTP请求,绕过身份验证过程,并获得对应用程序的未授权访问。(2)删除shiro开头的jar包,集成单点登录的shiro-cas 不用删。注意:ant风格的路径仅出现一个*时才能成功,而**无法绕过。这里可以通过url双编码的方式或地址栏加;.
zookeeper 未授权访问_【漏洞通告】Apache Shiro未授权访问漏洞CVE202017510
weixin_39770311的博客
12-08 924
Apache Shiro存在一个未授权访问漏洞,因为shiro在与spring组合使用时,处理url的方式和spring存在差别,导致授权的绕过。通过构造特殊的HTTP请求,可以访问未授权的信息。漏洞名称 :Apache Shiro未授权访问漏洞(CVE-2020-17510)威胁等级 : 中危影响范围:Apache Shiro < 1.7.0漏洞类型 : 未授权访问利用难度...
云服务器shiro修复,Apache Shiro < 1.7.0 权限绕过漏洞CVE-2020-17510
weixin_26642481的博客
08-03 1303
今天服务器上面提示有漏洞预警提示:Apache Shiro < 1.7.0 权限绕过漏洞(CVE-2020-17510),接下来吾爱编程为大家介绍一下Apache Shiro < 1.7.0 权限绕过漏洞的修复方法,有需要的小伙伴可以参考一下:1、漏洞描述:Apache Shiro是一个应用广泛的权限管理的用户认证与授权框架。近日,Apache Shiro发布1.7.0版本,修复了 A...
apache shiro 反序列化漏洞解决方案
qq_36407469的博客
07-27 5706
一、反序列化漏洞介绍 序列化:把对象转换为字符串或者字节流的过程。 反序列化:把字符串或者字节流恢复为对象的过程。 反序列化漏洞的产生原理,即黑客通过构造恶意的序列化数据,从而控制应用在反序列化过程中需要调用的类方法,最终实现任意方法调用。如果在这些方法中有命令执行的方法,黑客就可以在服务器上执行任意的命令。 二、产生原因 shiro提供了记住我(RememberMe)的功能,即可以在关闭浏览器的情况下,下次打开时还能记住你是谁,无需登录即可访问。 shiro默认使用了CookieRememberMeMa
绕过漏洞危害_Apache Shiro 权限绕过漏洞通告(CVE202017510
weixin_42467508的博客
12-08 359
漏洞简述2020年10月30日,Apache Shiro团队发布1.7.0版本,修复了之前版本存在的身份绕过漏洞。1.7.0之前的Apache Shiro,与Spring结合使用Apache Shiro时,存在可构造恶意HTTP请求绕过身份认证实现未授权进入系统后台风险,建议用户及时升级到最新版本。二危害等级和版本1危害等级高2影响版本Apache Shiro < 1.7....
cvss漏洞评分标准_CVE202017510| Apache Shiro身份验证绕过漏洞通告
weixin_39534002的博客
12-23 262
0x00 漏洞概述CNVD IDCVE-2020-17510时 间2020-11-03类 型身份验证绕过等 级高危远程利用是影响范围Apache Shiro <1.7.0Apache Shiro是一个强大且易用的Java安全框架,其支持身份验证、授权、密码和会话管理等。使用Shiro的API,可以快速、轻松地获得任何应用程序。0x01 漏洞详情2020年10月...
Apache Flink(CVE-2020-17518/17519)任意文件上传和路径遍历漏洞复现
总有人间一两风,填我十万八千梦
01-08 3957
目录 影响范围 docker搭建漏洞环境 漏洞复现 单个漏洞检测脚本 批量漏洞检测脚本 Apache Flink 是一个分布式流批一体化的开源平台。Flink 的核心是一个提供数据分发、通信以及自动容错的流计算引擎。Flink 在流计算之上构建批处理,并且原生的支持迭代计算,内存管理以及程序优化。式的数据分析开源系统,结合了分布式 MapReduce 类平台的高效,灵活的编程和扩展性,具有强大的流处理和批处理功能。同时在并行数据库发现查询优化方案。 2021...
shiro框架历史漏洞
08-21
shiro框架存在的历史漏洞包括反序列化漏洞和权限绕过漏洞。其中,反序列化漏洞是指通过在登录框中输入特定信息触发的漏洞,具体表现为返回的数据包中存在set-Cookie字段的remenberme=deleteme值,这是shiro反序列化...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值