CVE-2022-32532 Apache Shiro RegExPatternMatcher 认证绕过漏洞

最新推荐文章于 2024-07-22 14:15:06 发布
最新推荐文章于 2024-07-22 14:15:06 发布
阅读量800 收藏 11
点赞数 11
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_70714448/article/details/139353411
版权

1.漏洞描述

当Apache Shiro中使用RegexRequestMatcher进行权限配置,且正则表达式中携带"."时,未经授权的远程攻击者可通过构造恶意数据包绕过身份认证,导致配置的权限验证失效。

影响版本

Apache Shiro < 1.9.1

2.漏洞分析

环境搭建

GitHub - Lay0us1/CVE-2022-32532: Apache Shiro CVE-2022-32532 源码

利用vulfoce靶场

漏洞原理

在正则表达式中元字符.是匹配除换行符(\n\r)之外的任何单个字符。

要匹配包括 \n 在内的任何字符,需使用像(.|\n)的模式。

在java中的正则默认情况下.也同样不会包含\n、\r字符,因此在一些场景中,使用正则.的规则就有可能被绕过。

新增Pattern.DOTALL模式后,正则表达式.就可以匹配任何字符包括换行符。

源码分析

在shiro-1.90中存在一个RegExPatternMatcher类

RegexRequestMatcher和AntPathMatcher类似,提供请求路径匹配功能及拦截器参数解析的功能。而一般情况下RegexRequestMatcher类是不会在项目中出现,需要用户自己配置

分析RegexRequestMatcher用于匹配的代码。

可以看到,这里正如上面漏洞原理分析的一样,pattern存在带.的正则表达式匹配,若source中存在\r或\n字符时,将判断错误。

而在4ra1n师傅构造的漏洞场景中。

自定义了Filter,增加权限认证场景:

1、判断请求头中的Token是否匹配。

2、如果不存在Token或者Token头错误则认为认证失败。

并且配置了自定义的AccessControlFilter实现类,并将 PatternMatcher配置为RegExPatternMatcher。

同时自定义MyShiroFilterFactoryBean。

继承自ShiroFilterFactoryBean类;设置匹配规则为/permit/.*字符串,表示需要拦截/permit/下所有的路径。

在自定义controller中,配置了/permit/{value}这样从路径取参数的路由和/permit/*这样的通配路由

3.漏洞復現

当访问/permit/any,返回拒绝访问。

当访问/permit/a%0any或/permit/a%0dny时,返回success,即认证成功。

所以在如上满足使用了RegExPatternMatcher类,设置带有.的正则表达式等条件的场景下,利用该漏洞可实现权限认证绕过。

天上的猩猩不说话.
关注
  • 11
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC
08-10
Apache Spark 命令注入(CVE-2022-33891)POC CVE-2022-33891 影响版本 Apache spark version 3.1.1<Apache spark 版本 Apache Spark version>= 3.3.0 修复方案 1.建议升级到安全版本,参考官网链接: ...
Apache Shiro身份验证绕过漏洞(CVE-2020-13933)
07-17
直接使用java -jar srping....war命令运行即可 执行之后,访问http://主机的IP:8888/admin/*或者http://主机的IP:8888/login
CVE-2022-32532 Apache Shiro RegExPatternMatcher 认证绕过复现
m0_54866636的博客
09-01 368
大白话,其实就是在shiro-core-1.9.0.jar中存在一个RegExPatternMatcher类,这个类的Pattern存在带.的正则表达式匹配,如果存在/n或/r字符时,就会判断错误。6月29日,Apache 官方披露 Apache Shiro 权限绕过漏洞(CVE-2022-32532),当 Apache Shiro 中使用 RegexRequestMatcher 进行权限配置,且正则表达式中携带“.”时,未经授权的远程攻击者可通过构造恶意数据包绕过身份认证。渗透机:Kali Linux。.
CVE-2022-32532 Apache Shiro RegExPatternMatcher 认证绕过漏洞复现
qq_60905276的博客
07-16 671
6月29日,Apache官方披露ApacheShiro权限绕过漏洞(CVE-2022-32532),当ApacheShiro中使用RegexRequestMatcher进行权限配置,且正则表达式中携带“.”时,未经授权的远程攻击者可通过构造恶意数据包绕过身份认证pattern存在带.的正则表达式匹配,若source中存在\r或\n字符时,将判断错误。在java中的正则默认情况下.也同样不会包含\n、\r字符,因此在一些场景中,使用正则.的规则就有可能被绕过。)之外的任何单个字符。...
CVE-2022-32532Apache Shiro RegExPatternMatcher 认证绕过复现
Foreverlove112的博客
10-01 1675
CVE-2022-32532Apache Shiro RegExPatternMatcher 认证绕过复现
Apache Shiro 身份认证绕过漏洞CVE-2022-32532
m0_67394230的博客
08-13 236
Apache Shiro官方与6月28日修复了一个身份认证绕过漏洞CVE-2022-32532漏洞内容为当在Apache Shiro中使用RegexRequestMatcher进行权限配置并且配置的正则表达式中存在”.”时,可以通过构造恶意数据包的方式绕过身份验证,导致权限控制失效。官方描述。...
Apache shiro RegExPatternMatcher 权限绕过漏洞 (CVE-2022-32532)
weixin_40750633的博客
09-26 827
Apache shiro RegExPatternMatcher 权限绕过漏洞 (CVE-2022-32532) 登录过滤器执行2次的问题
[ 漏洞复现篇 ] Apache Shiro 身份认证绕过漏洞 (CVE-2022-32532)
qq_51577576的博客
08-05 4711
Apache Shiro 是一个强大且易用的 Java 安全框架,通过它可以执行身份验证、授权、密码和会话管理。使用 Shiro 的易用 API,您可以快速、轻松地保护任何应用程序 —— 从最小的移动应用程序到最大的 WEB 和企业应用程序。...
Apache Shiro权限绕过漏洞CVE-2022-32532
weixin_54438700的博客
12-15 2773
ShiroApache旗下一个开源的Java安全框架,它具有身份验证、访问控制、数据加密、会话管理等功能,可以用于保护任何应用程序的安全,如移动应用程序、web应用程序等。2022年6月29日,Apache官方披露Apache Shiro权限绕过漏洞CVE-2022-32532),当 Apache Shiro 中使用 RegexRequestMatcher 进行权限配置,且正则表达式中携带“.”时,未经授权的远程攻击者可通过构造恶意数据包绕过身份认证
漏洞复现 | Apache Shiro 授权绕过漏洞CVE-2022-32532
尼泊罗河伯的博客
09-16 4816
Apache Shiro 是一套用于执行认证、授权、加密和会话管理的 Java 安全框架。2022年06月29日 APache 官方发布了一则关于 Apache Shiro 的安全通告,Apache Shiro 1.9.1 前的版本 RegExPatternMatcher 在使用带有“.”的正则时,可能会导致权限绕过漏洞源于 RegExPatternMatcher 默认使用的正则匹配的“.”不会匹配换行符,因此可以使用在路径中添加换行符来绕过权限匹配。
CVE-2020-13933 靶场: shiro 认证绕过漏洞.zip
01-16
在靶场中,安全专业人员可以模拟攻击者的行为,发现系统和应用的漏洞,并进行渗透测试,从而及时修复和改进防御机制。同时,这也为防御方提供了锻炼机会,通过对抗攻击提高防御能力。 靶场的搭建还促进了团队协作与...
12. Hibernate 模板设计模式
最新发布
这是一个web全栈开发的博客,取其精华去其糟粕,争取让大家一看就懂,一学就会,一用就成~
07-22 1155
如何运用模板设计模式重构 Hibernate 操作流程;持久化对象与序列化接口;OOP中有一个编码原则 :写仅写一次。翻译过来就是,不要重复,要重用。答案是:使用模板设计模式进一步封装Hibernate的操作。在真实项目中,Hibernate仅仅只是完成项目中的一部分工作,需要和其它,如Spring等框架联合工作,一起承担整体项目的开发。Spring框架中就提供的有Hibernate模板对象。一个常规的、频繁的操作代码中,大部分代码不需要变动,只有小部分代码需要根据需求变动。
redis+spring面试题
github_36510643的博客
07-21 417
redis+spring面试题
Java-Lambda
lizhiwei21的博客
07-21 456
lambda表达式可以理解为对匿名内部类的一种简化 , 但是本质是有区别的面向对象思想 :强调的是用对象去完成某些功能函数式编程思想 :强调的是结果 , 而不是怎么去做。
Java内存模型
weixin_44267758的博客
07-19 796
此处的变量不是指java编程中的变量,它包括了实例字段,静态字段和构成数值对象的元素,但不包括局部变量和方法参数。JMM规定所有变量都存储在主内存中。每条线程有自己的工作内存,工作内存中保留了该线程使用到变量的主内存的副本。线程对变量的所有操作都必须在工作内存中进行,不能直接读写主内存的变量,不同的线程间也无法直接访问对方工作内存的变量,线程之间的变量值传递需要通过主内存来完成。
Promise 详解(原理篇)
山重水复疑无路,柳暗花明又一村。
07-20 782
Promise 是一种异步编程的解决方案。在异步操作中,callback 会导致回调地狱的问题,Promise 解决了这个问题。一个 Promise对象有以下三种状态:pending:初始状态,既不是成功,也不是失败状态。:意味着操作成功完成。rejected:意味着操作失败。当 new Promise() 被实例化后,即表示 Promise 进入 pending 初始化状态,准备就绪,等待运行。
CVE-2022-32532
09-15
CVE-2022-32532Apache Shiro的一个权限绕过漏洞。当在Apache Shiro中使用RegexRequestMatcher进行权限配置时,如果正则表达式中包含".",未经授权的远程攻击者可以通过构造恶意数据包绕过身份认证。这个漏洞可能影响到受影响的Apache Shiro版本。关于该漏洞的更多信息以及修复方案,您可以参考Apache官方的公告和安全链接。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值