一、漏洞名称:
Apache Shiro 身份验证绕过漏洞复现
二、漏洞编号:
CVE-2020-1957,CVE-2020-17523
三、漏洞描述:
Apache Shiro多个版本中存在认证绕过漏洞。攻击者可构造特殊的请求绕过身份验证访问目标服务。
四、影响版本:
Apache Shiro <= 1.7.0
五、漏洞分析
Shiro框架通过拦截器功能对用户访问权限进行控制,如anon,authc等拦截器。anon为匿名拦截器,不需要登录即可访问。authc为登录拦截器,需要登录才能访问。Shiro的URL路径表达式为Ant格式,匹配规则如下:
Wildcard
Description
匹配任何单字符
*
匹配0或者任意数量的字符
**
匹配0或者更多的目录
CVE-2020-1957:
- 第一个问题点在于URL路径的匹配机制的差异:在Shiro中
/hello/*
可以匹配/hello/123
,但无法匹配/hello/123/
。而在spring框架的映射机制中/hello/123/
也可以匹配到/hello/123
,从而产生了绕过。在shiro1.5.0中修复了该漏洞 - 第二个问题点在于URL路径获取机制的差异:在shiro中只取分号前面的路径,而在spring中会将分号前后的路劲进行拼接,从而产生绕过。
CVE-2020-17523 :
- 和 CVE-2020-1957 一样,在
domatch()
的匹配机制中对url
和pattern
做匹配时,shiro
对url
路径做了去除空格的操作,与spring本身对URL的处理产生差异导致漏洞的产生
六、实验环境及准备:
- 下载演示代码,或者自己写也行。这边直接在github下载shiro的项目:
下载地址:https://github.com/lenve/javaboy-code-samples/tree/master/shiro/shiro-basic - 导入到IDEA中修改shiro认证拦截规则和映射地址
七、复现步骤:
1. 末尾空格绕过
复现很简单,主要在于代码分析和跟踪
-
第一个点入口在
AbstractShiroFilter
的getExecutionChain
函数中。
-
进而追踪到
PathMatchingFilterChainResolver
的getChain
函数中,该函数作用根据URL路径匹配中配置的url路径表达式来匹配输入的URL,判断是否匹配拦截器,匹配成功将会返回响应的拦截器执行链,让ShiroFither执行权限操作的。其对于URL路径表达式和输入URL的匹配主要通过pathMathches
函数进行匹配。到这里根据Ant的匹配规则就知道,这里不会匹配上任何拦截器,从而绕过了认证拦截。
-
继续跟进的话,会到AntPathMatcher的doMatch函数中做具体匹配工作,感兴趣的可以继续研究。
-
Shiro的拦截过了之后就到了spring的路由分发过程,从DispatcherServlet#doService开始跟进
主要跟踪获取Handler的程序
最终跟到PatternsRequestCondition#getMatchingPattern,关键代码如下,将pattern加上/再和URL进行匹配,这样就正好匹配上了
2. 穿插分号绕过
升级shiro版本到1.5.0后,末尾斜杠的方法无法绕过
通过插入分号的方式成功绕过
代码跟踪
-
还是和上面一样从同一个入口进去,跟踪到获取URL地址的地方
PathMatchingFilterChainResolver#getChain
-
一直可以跟进到URL规范化处理函数中
-
跟进到最终处理的函数中
WebUtils#decodeAndCleanUriString
,对URL字符串进行了截取
-
而在spring的URL处理中,对分号前后的字符串进行了拼接。从
DispatcherServlet# doDispatch
一直跟到UrlPathHelper#removeSemicolonContentInternal
就可以看到URL获取及清理的整个过程
由于两个地方对URL清理的差异化导致shiro认证拦截器的绕过并能访问到目标服务。
3. 末尾空格绕过
-
直接跟进到
AntPathMatcher.class
中获取路径列表
-
继续一直跟进到
tokenizeToStringArray
函数中,可以看到去除空格的操作