Apache Shiro <= 1.5.1权限绕过分析

最新推荐文章于 2024-08-27 17:11:33 发布
最新推荐文章于 2024-08-27 17:11:33 发布
阅读量610 收藏 1
点赞数 1
分类专栏: 网络安全学习 文章标签: 安全 java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_49443776/article/details/114173259
版权

Apache Shiro爆出不少漏洞,之前一直忙着其他事情,没有去跟进分析,这次总算凑出时间来写一篇分析文章。

万变不离其宗,我们就从旧的版本开始分析。

0x01 环境搭建
首先是环境的搭建,我直接放到github上,供大家下载。https://github.com/apwgss/Apache-Shiro-one.git

0x02 初始化分析
搭建好环境后找到ShiroConfig文件,这个是shiro的核心配置类,里面配置了那些路径需要登陆才能访问,如图
在这里插入图片描述

这里简单解释一下,authMap里面的key就是拦截的路径,value代表需要哪些权限,权限我在注释里写的很清楚了,就不多说了。这里主要就是设置要拦截的路径,然后设置到过滤器链中,在后面进行权限校验的时候会取出来和requestURI做匹配。

我觉得如果只是简单复现跟一下源码,那么就和网上的那些没有什么区别了,对你也不会有太大帮助,所以我准备从过滤器链如何初始化到如何绕过过滤器链的顺序去讲解该漏洞,帮助你更好的理解漏洞的前因后果。

首先我们在ShiroFilterFactoryBean中的getObject()方法打上断点,如图
在这里插入图片描述

因为ShiroFilterFactoryBean实现了FactoryBean接口,Spring在初始化的时候会调用ShiroFilterFactoryBean的getObject()来获取实例,而ShiroFilterFactoryBean也在此时做了一系列初始化操作。

以debug的模式启动程序,启动后会走到getObject这个方法,一开始instance为null,所以会调用this.createInstance()进行一系列初始化操作,我们主要就跟进这个方法来看一下,如图
在这里插入图片描述
在这里插入图片描述

可以看到createInstance方法中做了一系列操作,我们一步一步来看。这里的SecurityManager就是我们ShiroConfig配置类中设置的默认安全管理器。我们往下走直接走到this.createFilterChainManager()方法中,这个方法中做了一些关键的初始化操作,直接把代码贴出来

protected FilterChainManager createFilterChainManager() {
        DefaultFilterChainManager manager = new DefaultFilterChainManager();
        Map<String, Filter> defaultFilters = manager.getFilters();
        Iterator var3 = defaultFilters.values().iterator();
        while(var3.hasNext()) {
            Filter filter = (Filter)var3.next();
            this.applyGlobalPropertiesIfNecessary(filter);
        }
        Map<String, Filter> filters = this.getFilters();
        String name;
        Filter filter;
        if (!CollectionUtils.isEmpty(filters)) {
            for(Iterator var10 = filters.entrySet().iterator(); var10.hasNext(); manager.addFilter(name, filter, false)) {
                Entry<String, Filter> entry = (Entry)var10.next();
                name = (String)entry.getKey();
                filter = (Filter)entry.getValue();
                this.applyGlobalPropertiesIfNecessary(filter);
                if (filter instanceof Nameable) {
                    ((Nameable)filter).setName(name);
                }
            }
        }
        Map<String, String> chains = this.getFilterChainDefinitionMap();
        if (!CollectionUtils.isEmpty(chains)) {
            Iterator var12 = chains.entrySet().iterator();
            while(var12.hasNext()) {
                Entry<String, String> entry = (Entry)var12.next();
                String url = (String)entry.getKey();
                String chainDefinition = (String)entry.getValue();
                manager.createChain(url, chainDefinition);
            }
        }
        return manager;
    }

这里先是new了一个DefaultFilterChainManager对象,使用的是无参的构造方法,我们进去看一下,如图
在这里插入图片描述
在这里插入图片描述

看到调用了addDefaultFilters(false)方法,点进去可以看到,该方法中获取了DefaultFilter里面的值然后遍历添加到DefaultFilterChainManager类中去了,点进DefaultFilter,该类是一个枚举类,里面定义了Shiro内置的一些过滤器,如图
在这里插入图片描述

标注的是两个常用的类型,日常生活中用的最多的过滤器。然后回到createFilterChainManager方法中,继续往下走,我们的关注点在这一段代码

Map<String, String> chains = this.getFilterChainDefinitionMap();
        if (!CollectionUtils.isEmpty(chains)) {
            Iterator var12 = chains.entrySet().iterator();
            while(var12.hasNext()) {
                Entry<String, String> entry = (Entry)var12.next();
                String url = (String)entry.getKey();
                String chainDefinition = (String)entry.getValue();
                manager.createChain(url, chainDefinition);
            }
        }

这里会获取我们在ShiroConfig中配置的过滤规则,也就是获取authMap,之前是set进去的现在取出来。拿到map集合判断不为空,进行迭代器遍历,获取对应的key和value,如图
在这里插入图片描述

然后我们跟进createChain方法,这里主要关注this.addToChain(chainName, nameConfigPair[0], nameConfigPair[1]);方法,如图
在这里插入图片描述

跟进去如图
在这里插入图片描述

这里重点关注this.ensureChain(chainName);方法,点进去如图
在这里插入图片描述

这里this.filterChains默认里面是找不到chainName对应的对象的,所以会创建一个新的SimpleNamedFilterList对象,然后将chainName和chain存入this.filterChains集合中,跟到这里初始化就差不多可以告一段落了,因为验证漏洞时就是从this.filterChains中获取chainName来和requestURI做对比的,后面直接放行即可。

0x03 漏洞分析
现在我们开始真正的漏洞分析,刚刚程序已经是以debug模式启动的了,我们需要在PathMatchingFilterChainResolver文件中的getChain方法上打上断点,因为HTTP请求是从Tomcat过来的,当一个请求到达Tomcat时,Tomcat以责任链的形式调用了一系列Filter,OncePerRequestFilter就是众多Filter中的一个。它所实现的doFilter()方法调用了自身的抽象方法doFilterInternal(),这个方法在它的子类AbstractShiroFilter中被实现了。

PathMatchingFilterChainResolver.getChain()就是被在doFilterInternal()中被一步步调用的调用的。

protected void doFilterInternal(ServletRequest servletRequest, ServletResponse servletResponse, 
                                final FilterChain chain) throws ServletException, IOException {
        final ServletRequest request = prepareServletRequest(servletRequest, servletResponse, chain);
        final ServletResponse response = prepareServletResponse(request, servletResponse, chain);
        final Subject subject = createSubject(request, response);
        subject.execute(new Callable() {
            public Object call() throws Exception {
                updateSessionLastAccessTime(request, response);
                executeChain(request, response, chain);
                return null;
            }
        });
}

这里先获获取滤器,然后执行。

protected void executeChain(ServletRequest request, ServletResponse response, FilterChain origChain)
        throws IOException, ServletException {
    FilterChain chain = getExecutionChain(request, response, origChain);
    chain.doFilter(request, response);
}

获取过滤器方法如下。

protected FilterChain getExecutionChain(ServletRequest request, ServletResponse response, FilterChain origChain) {
    FilterChain chain = origChain;
    FilterChainResolver resolver = getFilterChainResolver();
    if (resolver == null) {
        return origChain;
    }
    FilterChain resolved = resolver.getChain(request, response, origChain);
    if (resolved != null) {
        chain = resolved;
    } else {
    }
    return chain;
}

通过getFilterChainResolver()就拿到了上面提到的过滤器执行链解析器PathMatchingFilterChainResolver,然后再调用它的getChain()匹配获取过滤器,最终过滤器在executeChain()中被执行。

由此可知,http请求都会在getChain方法处理。我们访问localhost:8080/xxx/…;/admin/test,可以发现触发debug如图
在这里插入图片描述

之后就如很多博客文章讲述的那样,进入getPathWithinApplication方法中,这里也是漏洞的核心触发点,跟进如图
在这里插入图片描述

继续跟进getPathWithinApplication方法,如图
在这里插入图片描述

继续跟进,如图
在这里插入图片描述

问题主要是在decodeAndCleanUriString方法中,我们跟进去看看
在这里插入图片描述

这里是先对uri进行了一次url解码,然后通过indexOf找到分号 ; 的位置,再返回从分号前截取的字符串,比如我这里的uri是 /xxx/…;/admin/test,经过截取后,就成了/xxx/…,这也就是为什么能绕过匹配的原因,因为我们之前的authMap中压根就没有这个uri,所以当然匹配不上。

我们返回到getPathWithinApplication方法,然后往下走返回到getChain方法,如图
在这里插入图片描述

这里调用DefaultFilterChainManager中的getChainNames()方法,我们进去看一下
在这里插入图片描述

可以看到就是获取前面初始化的时候存入的过滤路径,取key就是把路径都取出来到一个集合中。然后回到刚刚的方法,有一个while循环,我们只需要保持while里面的条件一直为true,即可绕过shiro的过滤器检测了。因为this.pathMatches(pathPattern, requestURI)方法中,requestURI是在map中找不到的,所以不会匹配返回的是false,while里面是用的取反运算符,pathMatches结果为true则while条件为false,pathMatches结果为false则while条件为true,不难理解,所以最后会在do里面返回null。

这里只是shiro的绕过,还有springboot对uri处理的缺陷才导致最后我们可以访问到相对应的web资源。找到org.springframework.web.util.UrlPathHelper类,在对应的getPathWithinServletMapping方法上打上debug,如图
在这里插入图片描述

问题主要出现在getPathWithinApplication方法上,点进去如图
在这里插入图片描述

继续跟进,如图
在这里插入图片描述

这里使用decodeAndCleanUriString方法对uri进行了一些处理,点进去看看
在这里插入图片描述

继续跟进方法,如图
在这里插入图片描述

跟进去,如图
在这里插入图片描述

这里的操作我给一张截图就能看明白了
在这里插入图片描述

截取后的uri就是这样的 /xxx/…/admin/test,然后返回到getPathWithinServletMapping方法,如图
在这里插入图片描述

这里因为经过getServletPath方法,所以路径变成了/admin/test,/xxx/…/被自动替换了,相当于返回到上一级目录。最终回到我们请求的controller,如图
在这里插入图片描述

能到这一步,就说明已经成功bypass身份验证访问到受保护的web资源了,至此漏洞分析结束。

免责声明:本站提供安全工具、程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!

转载声明:著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。

订阅查看更多复现文章、学习笔记

伟盾网络安全

专注网络安全,用心做好安全这件事。

在这里插入图片描述

个人博客:博客

个人知乎:知乎

伟盾网络安全
关注
专栏目录
Apache Shiro=1.2.4反序列化RCE漏洞
墨痕诉清风的博客
10-09 1278
因为shiro对cookie里的rememberme字段进行了反序列化,所以如果知道了shiro的编码方式,然后将恶意命令用它的编码方式进行编码并放在http头的cookie里,在shiro对提交的cookie的rememberme字段进行反序列化时,也就执行了插入的命令,最终造成了命令执行。Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。的,就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞。,已经有人准备好了的。...
Apache Shiro 1.2.4反序列化漏洞(Shiro-550)--Shiro rememberMe反序列化漏洞(CVE-2016-4437)
薛定谔嘚喵博客
05-10 1590
Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。Apache Shiro 1.2.4及以前版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro的默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令。
Apache Shiro系列漏洞利用以及实战总结
热门推荐
jammny
10-14 1万+
前言: Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。内置了可以连接大量安全数据源(又名目录)的Realm,如LDAP、关系数据库(JDBC)、类似INI的文本配置资源以及属性文件等。 目录 RememberMe RCE-550(CVE-2016-4437) 远程安全限制绕过漏洞(CVE-2016-6802) Padding Orac
Apache Shiro身份认证绕过漏洞复现(CVE-2020-17523)
qq_38641816的博客
02-05 3505
1,安装 直接copy代码下载,运行即可 https://github.com/jweny/shiro-cve-2020-17523 2,复现 3,分析 其实就是空格绕过了身份验证 进入domatch函数 发现pathdirs中只剩下了admin,空格字段没有了 主要就是trim函数去掉了空格 导致最后在这里返回false ...
shiro550反序列化漏洞原理与漏洞复现(基于vulhub,保姆级的详细教程)_shiro550原理
baimao__Ch的博客
08-27 863
如何判断我的服务器是否受到了针对shiro550漏洞的攻击?检查日志:查看系统的日志文件,看是否有异常的访问记录或登录失败记录,如果发现了异常,可以进一步分析该记录是否与Shiro550漏洞有关。检查系统状态:检查系统是否存在异常状态,如系统崩溃、服务宕机等,这可能是攻击者利用Shiro550漏洞进行攻击导致的。检查用户行为:检查是否有用户在短时间内多次尝试登录或者进行异常操作,这可能是攻击者正在利用Shiro550漏洞尝试获取系统权限
Apache-Shiro-认证绕过(CVE-2020-1957)
bqnagus
09-29 612
Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。 在Apache Shiro 1.5.2以前的版本中,在使用Spring动态控制器时,攻击者通过构造`..;`这样的跳转,可以绕过Shiro中对目录的权限限制。
Apache Shiro 认证绕过漏洞(CVE-2020-1957)
Myu_wzy的博客
10-24 1656
使用 Apache Shiro 进行身份验证、权限控制时,可以精心构造恶意的URL,利用Apache ShiroSpring Boot 对URL的处理的差异化,可以绕过Apache ShiroSpring Boot 中的 Servlet的权限控制,越权并实现未授权访问。
漏洞预警|Apache Shiro身份认证绕过漏洞
LJQClqjc的博客
07-08 1231
开源漏洞预警近日网上有关于开源项目Apache Shiro身份认证绕过漏洞 ,棱镜七彩安全研究院对漏洞进行了POC验证。项目介绍Apache Shiro是一个强大且易用的Java安全框架,用于执行身份验证、授权、密码和会话管理。项目地址https://shiro.apache.org/代码托管地址https://github.com/apache/shiro漏洞概述当Apache Shiro中使用RegexRequestMatcher进行权限配置,且正则表达式中携带"."时,未经授权的远程攻击者可通过构造恶
基于Python实现的Shiro<=1.2.4反序列化一键检测工具设计源码
最新发布
10-02
该工具是一款基于Python实现的Shiro<=1.2.4版本反序列化漏洞一键检测工具,项目包含23个文件,其中包括11个Python源文件、10个Python编译文件、1个Markdown文档和1个文本文件。该工具旨在帮助安全研究人员快速识别和...
Apache shiro 权限绕过(CVE-2020-1957)
Aquarius_ego的博客
06-22 2164
Apache Shiro是美国阿帕奇(Apache)软件基金会的一套用于执行认证、授权、加密和会话管理的Java安全框架。 Apache Shiro 1.5.2之前版本中存在安全漏洞。攻击者可借助特制的请求利用该漏洞绕过身份验证。攻击者可借助特制的请求利用该漏洞绕过身份验证。Apache Shiro ......
SpringBoot + Apache Shiro1.9.1 最新版本详细教程,基于RBAC角色访问、安全管理框架、用户角色权限
07-26
springboot、shiro、mybatis、mybatis plus、mysql、thymeleaf、 3、实现功能:登陆认证、密码加密、权限授权等 4、优点:快速上手、全面支持验证、授权、加密和会话、灵活自定义设计、支持web环境、可以无缝集成...
shiro1.5.3
05-11
最新shiro1.5.3全依赖jar包,里面包含shiro-core shiro-spring shiro-web 等等一系列
Shiro安全(五):Shiro权限绕过Shiro-682&CVE-2020-13933
weixin_43263451的博客
08-07 1392
上一篇文章大概讲述了一下shiro以及spring获取uri的流程,总的来说shiro权限绕过是因为shirospring在对同一个请求获取uri时的处理步骤不同导致的,下面讲的两个权限绕过漏洞也是基于该原因shiro < 1.5.2利用的是 shirospring 对 url 中的 “;” 处理差别来绕过校验。uri获取逻辑shiro:具体方法,方法先调用 方法处理请求路径,再调用 normalize 方法标准化路径。当uri中存在封号时,删除掉封号后面所有内容spring:方法是 ,方法名也
Apache Shiro漏洞复现
2301_80115097的博客
12-19 130
IIS,Apache,Nginx,Tomcat,Docker,K8s,Weblogic,JBoos,WebSphere,Jenkins ,GlassFish,Jetty,Jira,Struts2,Laravel,Solr,Shiro,Thinkphp,Spring,Flask,jQuery 等常见开发框架1、开发框架-PHP-Laravel-Thinkphp2、开发框架-Javaweb-St2-Spring3、开发框架-Python-django-Flask。
Apache Shiro 身份验证绕过漏洞复现(CVE-2016-6802)
渗透测试研究中心
11-29 317
0x00 漏洞详情shiro在路径控制的时候,未能对传入的url编码进行decode解码,导致攻击者可以绕过过滤器,访问被过滤的路径。0x01 漏洞影响shrio <1.3.20x02 环境搭建由于这个版本还没有shiro-spring-boot-starter,只能从 GitHub 上获取项目进行测试,https://github.com/godzeo/shiro_1.2.4_samp...
Apache Shiro 认证绕过漏洞 CVE-2020-1957 漏洞复现
Senimo
07-26 6379
Apache Shiro 认证绕过漏洞 CVE-2020-1957 漏洞复现一、漏洞描述二、漏洞影响三、漏洞复现1、环境搭建2、漏洞复现四、漏洞POC五、参考链接 一、漏洞描述 Apache Shiro 是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。 CVE-2020-1957,Spring Boot中使用 Apache Shiro 进行身份验证、权限控制时,可以精心构造恶意的URL,利用 Apache ShiroSpring Boot
Shiro 权限绕过漏洞(CVE-2020-1957)
jiji_king的博客
07-06 1103
个人笔记
[CVE-2020-11989]Apache Shiro权限绕过漏洞
公众号shadow sock7
07-09 6578
影响范围: Shiro < 1.5.3 Spring框架中只使用了Shiro鉴权 环境搭建: https://github.com/threedr3am/learnjavabug/blob/master/shiro/auth-bypass(shiro%3C1.5.3)/ 注意这里配置的是: /bypass/*,而不是/bypass/**。/bypass/**是不能用这个漏洞来绕过的。 这个洞利用价值不大,基本使用shiro做认证的系统,都会利用/** authc兜底 利用方式一: 通过访问
CVE-2020-1957 Apache Shiro 认证绕过漏洞
weixin_50217210的博客
02-14 537
admin/ 就会进入到 springboot中. springboot对于每一个进入的request请求也会有自己的处理方式,找到自己所对应的mapping. 具体的匹配方式是在:org.springframework.web.util.UrlPathHelper 中的 getPathWithinServletMapping(),然后匹配到了/xxx/..;/admin/这个路径,在shiro看到“;由于/xxx/.. 截断了 并不会匹配到 /admin/** 所以shiro权限校验就会通过。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值