第101篇:一个绕过5层权限校验的0day漏洞的代码审计分析

于 2024-08-21 23:31:32 发布
阅读量493 收藏 7
点赞数 21
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_71692682/article/details/141425214
版权

bb126e565d290483205c9cf723c7bc5f.png

 Part1 前言 

大家好,我是ABC_123。这是我的第101篇原创技术文章,好久没有给大家分享代码审计类的分析了。前一阵子网友发来一个从流量设备中抓到的0day漏洞,不理解其绕过CAS单点登录及Shiro组件的权限校验的原理,我也好奇分析了一下,不禁感叹这位漏洞挖掘者的决心和毅力,各种因素结合完美绕过5层的权限校验。

建议大家把公众号“希潭实验室”设为星标,同时关注我的视频号"希水涵一讲堂"。

f0acb08374e90914836e48eb8fd064e2.jpeg

 Part2 技术研究过程 

这里给出这个POC的权限校验的关键部分,URL及参数都做了模糊化处理,大家可以先思考一下:

POST /file/changeUpload.png

VersionMetadata:clientCategory

Host: xxxxxxx

  • 第1关:URL后缀.png的路由映射问题

这个 POC 我一看就有疑问,.png 这个url能在 SpringMVC 中正常执行java应用吗?首先看一下web.xml配置文件,通过 mvc-dispatchcer 得知,该web应用是SpringMVC 应用。发现该 web 应用未对.png、.gif、.css等静态文件配置默认的 servlet 处理类。

8a2351abe66b0460f3cbd73189360710.png

所以当访问 /file/changeUpload.png 时,这个URL首先会被解析为 /changeUpload,然后是 .png 扩展名。@RequestMapping 注解用来定义控制器应该处理哪些URL,但是如果没有指定请求方法或扩展名,那么这个方法将处理所有以 /changeUpload 开头的 URL,无论它们是否有扩展名。由于.png没有被明确映射到其它servlet,且 /base64FileUpload 部分与根路径/匹配,因此由 mvc-dispatcher 将处理这个请求

  • 第2关:程序本身的权限校验绕过

接下来看下一个权限校验的 filter,这个filter是Web应用程序自己写的,注意看2个 <init-param> 标签定义的值,很明显有可能是白名单url关键字。

40718e659e8c2fef7c64d4aed9423e28.png

跟入相关的 filter 类,查看 doFilter 方法的实现,经过分析,isIgnoreUrl(httpRequest)方法是关键。

67e0fa0af77d9b41c86a83cff8c9b004.png

分析如下代码,在请求头中添加 VersionMetadata:clientCategory 可以使 isIgnoreUrl 条件判断返回true,则上述 fitler 代码会直接跳到 chain.doFilter(request, response); 这段代码,将请求和响应传递到下一个 filter 过滤器。

1a372293eacb4ebb5f19c2f291934a5e.png

  • 第3关:CAS权限校验绕过

接下来看一个filter类,来到了CAS单点登录的权限校验过程,跟进相关filter的类进行分析。

9ae92f4255805cb124f85665f43a54a4.png

经过分析,这一大串 if 条件非常复杂,将其复制出来放到本地idea中调试一下,发现只要http请求头包括 VersionMetadata:clientCategory 的时候,该 if 条件包裹的一堆权限校验代码直接全部跳过。

c6cb611a5962590a7672e4b46bf185e0.png

跳过 if 权限校验语句之后,程序会执行 filterChain.doFilter(request, response); 代码,从而传递请求去下一个filter类进行权限校验,至此就完美绕过了CAS的单点登录校验。

05efcd6f5f5b5af6d769915e5e0d0d09.png

  • 第4关:Shiro组件第一道权限校验

接下来 filterChain.doFilter 会将request对象及 response 对象传递到如下这个Shiro组件的 shiroFilter 过滤器。

8e3bc072a63d1d5ca08b39ae6dd27a51.png

接下来从applicationContext-shiro.xml中找到了shiro组件的关于权限方面的配置文件,里面配置了很多url路由及权限校验的实现类。

5cf03ef2fa58ce60f085144705f3203a.png

e2f4e94be56650bb4638fddfa574e841.png

查看shiro的安全过滤链配置项filterChainDefinitions,发现如下关键代码:/**表示匹配所有url路由,指定了两个自定义的过滤器来处理http请求,用作权限校验,这两个过滤器分别是 LoginAuthFilter、uapStatelessAuthcFilter。

adaad8352215a14bb0f986c751704938.png

首先分析第1个 LoginAuthFilter 过滤器,代码如下:

1ffc12448d5b03657ae81c8b283eb45c.png

经过一系列的 if 条件判断,发现上述EXP的上传数据包都不符合这些 if 条件判断,因而权限判断会走到最后一步,默认返回为true,表示通过了第一个过滤器的权限校验。

8b5788662beb789b7df5a6e65a0c55a2.png

  • 第5关:shiro组件的第2道权限校验

接下来看shiro组件的第二个权限校验过滤器 uapStatelessAuthcFilter,它的实现类是 com.xxx.shiro.filter.StatelessAuthcFilterNC。

6f186e3e22a9902153af80ca4d43fbd1.png

接下来查看这个类的具体实现,主要查看onAccessDenied方法,如果返回true,则表示当前用户被允许访问请求的资源。

9db5429cecb3ba69706d3e77b3aa505d.png

这个类代码特别繁杂,我跟了一晚上也没发现这个exp是怎么通过这个类的权限校验的。在即将放弃的时候,发现了这段代码 super.include(hReq),由于代码很短,我跟了好几次都没仔细看,后来才发现,这里才是权限校验绕过的关键点。这小段代码调用了父类的 include 方法,并传递一个 request 对象。

c8b666a39ad1b8d4647adbcc7ec647f2.png

如下代码通过遍历 this.esc 的方式实现了对 URL 扩展名的校验。

980e53462298c8e47efcba0cc85c3160.png

this.esc内容如下,定义了权限校验的白名单的扩展名:.jpg、.png、.gif、.css、.js、.jpeg,这几个扩展名都是用户登录校验的。跟到这里就非常明显了,/file/changeUpload.png的url请求中的.png符合权限校验的白名单,onAccessDenied返回为true,所以权限校验通过,无需用户名密码登录。至此,作者精心构造的EXP完全绕过5层权限校验。

b1417a84f4860fe72b48319a246a4b88.png

 Part3 总结 

1.  解决.png路由访问的问题:可以在 @RequestMapping 注解中指定请求方法和扩展名,或者在 web.xml 中添加更具体的 servlet-mapping 来处理特定的扩展名。例如,可以添加一个 servlet-mapping 来处理所有 .png 文件。这将确保所有 .png 文件由默认的 servlet 处理,而不是 mvc-dispatcher。

<servlet-mapping> <servlet-name>default</servlet-name> <url-pattern>.png</url-pattern></servlet-mapping>

2.  权限校验方面,对于白名单要慎之又慎。

3.  后续ABC_123会继续给大家分享java代码审计的权限校验方案的安全问题。

402461d63d0dcb7b8f3eadd1fa343219.png

公众号专注于网络安全技术,包括安全咨询、APT事件分析、红队攻防、蓝队分析、渗透测试、代码审计等,99%原创,敬请关注。

Contact me: 0day123abc#gmail.com

(replace # with @)

希潭实验室
关注
  • 21
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Find-Sec-Bugs 漏洞范例
zhaohonghan的博客
04-03 1万+
Find-Sec-Bugs 漏洞范例 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这文章,了解一下Markdown的基本语法知识。 新的改变 我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它写博客: ...
C++md5校验生成源代码
11-18
C++md5校验源码
转:攻击JavaWeb应用[6]-程序架构与代码审计
weixin_30301449的博客
06-07 267
转:http://static.hx99.net/static/drops/tips-429.html 攻击JavaWeb应用[6]-程序架构与代码审计 园长·2013/08/12 16:53 注: 不管多么强大的系统总会有那么些安全问题,影响小的可能仅仅只会影响用户体验,危害性大点的可能会让攻击者获取到服务器权限。这一节重点是怎样去找到并利用问题去获取一些有意思的东西...
[网络安全自学] 一.入门笔记之看雪Web安全学习及异或解密示例
weixin_42340783的博客
04-28 892
希望这基础性文章对你有所帮助,如果有错误或不足之处,还请海涵。后续将分享更多网络安全方面的文章了,从零开始很难,但秀璋会一路走下去的,加油。
[网络安全自学] 一 web学习及异或解密
Azreal的博客
07-02 1884
一.工具&术语 1.网安术语 常见安全网站及论坛: • 看雪(https://bbs.pediy.com/) • 安全客(https://www.anquanke.com) • freebuf(https://www.freebuf.com/) • 安全牛(https://www.aqniu.com/) • 安全内参(https://www.secrss.com/) • 绿盟(http://www.nsfocus.com.cn/) • 先知社区(https://xz.aliyun.com/) +++
shiro权限绕过漏洞分析(cve-2020-1957) _ Spoock1
08-03
然而,如标题和描述中提到的,存在一个名为CVE-2020-1957的安全漏洞,允许攻击者绕过Shiro的权限检查,从而访问受保护的资源。 该漏洞主要发生在Shiro 1.5.1及更早版本中,当用户请求的URL(URL1)通过Shiro的权限...
一百行JS代码实现一个校验工具
01-19
因此,我觉得一个团队或者是一个项目,需要一个校验工具,简化我们的工作。 首先,参考一下 Joi。只看这一小段代码: Joi.string().alphanum().min(3).max(30).required() 我希望我的校验工具Coi也是链式调用,链式...
Spring AOP实现功能权限校验功能的示例代码
08-28
文章主要介绍了Spring AOP实现功能权限校验功能的示例代码,通过使用拦截器和AOP技术来实现未登录时跳转到登录界面的功能,以及在service方法中抛异常来实现权限校验功能。 关于拦截器 在Spring MVC中,拦截...
ModbusCRC16:这是一个符合modbus协议的CRC16校验算法的java代码的实现
05-23
这个值表示了一个16位二进制数,其中左起第16位为1,其余位根据生成多项式的具体规则设定。 2. **初始化CRC寄存器**: 初始化一个16位的CRC寄存器,一般设置为全1,即`0xFFFF`。 3. **位移操作**: 对每个输入数据位...
Lensa应用深度解析:图像调整的艺术与科技
08-22
Leensa是一个多功能的平台,不同的语境下可能指代不同的服务或应用。根据搜索结果,以下是几种可能的解释: 1. **健康管理平台**:Leensa 可能是一个用于记录个人健康数据和提供健康建议的平台,用户可以通过注册账户来使用其服务,包括输入个人信息和接收健康相关的反馈 。 2. **VPN服务**:Leensa 也可能是指一个VPN服务,提供全球范围内的网络连接服务,支持不同平台的使用,并且特别指出支持中国大陆地区的注册,用户不需要翻墙即可完成注册 。 3. **AI艺术应用**:Lensa AI是一个照片与视频编辑应用,它能够利用AI技术根据用户的自拍照生成不同风格和变化的艺术化头像。这项服务在社交媒体上非常流行,并且可能与“魔法头像”功能有关 。 4. **社交应用**:在某些情况下,Leensa可能指的是一款需要邀请码注册的社交应用程序,用户可能需要通过社交媒体或官方支持获取邀请码才能完成注册 。 5. **网站服务不可用**:搜索结果中还显示了有关Leensa网站无法访问的信息,表明在某个时间点,Leensa的网站服务器可能遇到了问题,导致用户无法正常访问 。 请注意,Le
fdbus实现demo (包括client端和server端)
08-22
fdbus实现demo (包括client端和server端)
基于Springboot和Vue的医疗挂号管理系统源码 医疗挂号管理系统代码(高分项目源码)
08-22
1. 医疗挂号管理系统代码说明:经导师指导并认可通过的98分毕设项目代码。 2.适用对象:本代码学习资料适用于计算机、电子信息工程、数学等专业正在做毕设的学生,需要项目实战练习的学习者,也适用于课程设计、期末大作业。 3.技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug! 4. 作者介绍:大厂码农,java领域创作者,阿里云开发社区乘风者计划专家博主,专注于大学生项目实战开发,文章底部有博主联系方式,更多优质系统、项目定制请私信。 5. 最新计算机软件毕业设计选题大全: https://blog.csdn.net/weixin_45630258/article/details/135901374
Word助手程序【包含:可执行程序 和 Python源程序】
08-22
(1)实现Word转PDF。在Word助手的主窗体中,单击工具栏中的“Word转PDF”按钮,将打开“Word转PDF”子窗体,在该窗体中,首先单击“请选择Word文本所在路径”右侧的“…”浏览按钮,选择要转换源路径,这时系统将自动获取该路径下的全部Word文档文件,并显示在下方的列表中,然后单击“转换后PDF文件保存路径”文本框右侧的“…”浏览按钮,接下来,如果是想进行批量转换,那么单击“批量转换”按钮,开始转换,同时显示进度条,转换完成后,对应的文件路径将显示在下面的列表中。如果是合为一个PDF文件,则单击“合为一个PDF”按钮,开始转换,此时也将显示进度条,转换完成后,将显示合并后的文件路径到列表中。在PDF文件列表中,双击文件路径,可以使用PDF阅读软件打开该文件。 (2)实现统计Word文档页码。 (3)在Word助手的主窗体中,单击工具栏中的“统计提取总目录”按钮,将打开“提取总目录”子窗体,在该窗体中,首先单击“请选择Word文本所在路径”右侧的“…”浏览按钮,选择要统计文件的源路径,这时系统将自动获取该路径下的全部Word文档文件。
基于Springboot的 毕业设计成绩管理系统的设计与实现源码 (优秀毕业设计源码)
08-22
1. 毕业设计成绩管理系统的设计与实现代码说明:经导师指导并认可通过的98分毕设项目代码。 2.适用对象:本代码学习资料适用于计算机、电子信息工程、数学等专业正在做毕设的学生,需要项目实战练习的学习者,也适用于课程设计、期末大作业。 3.技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug! 4. 作者介绍:大厂码农,java领域创作者,阿里云开发社区乘风者计划专家博主,专注于大学生项目实战开发,文章底部有博主联系方式,更多优质系统、项目定制请私信。 5. 最新计算机软件毕业设计选题大全: https://blog.csdn.net/weixin_45630258/article/details/135901374
基于STM32单片机的语音IC卡停车管理系统(毕业设计)
08-22
功能描述: 1.在welcome界面,放置IC卡,此时会开始记录停车时间 2.按下KEY1按键,会提示放置IC卡,放置IC卡后,会进入扣费界面(系统会根据程序中设置的单价与停车时间进行计算,之后扣费) 2.1 扣费成功:记录时间清零 2.2 扣费失败:语音提示余额不足,此时停车时间继续记录 3.按下KEY0按键,会提示放置IC卡,放置IC卡后,会显示当前余额。 3.1 在此界面按下KEY0,余额每次增加10 3.2 在此界面按下KEY1,余额每次减10 4.KEY2按键时退出按键 5.系统会语音提示"欢迎停车"、"请放置IC卡"、"余额不足"等语音信息
毕业设计,基于SpringBoot+Vue+MySQL开发的校园二手书交易平台,源码+数据库+毕业论文+视频演示
08-22
毕业设计,基于SpringBoot+Vue+MySQL开发的校园二手书交易平台,源码+数据库+毕业论文+视频演示 信息数据从传统到当代,是一直在变革当中,突如其来的互联网让传统的信息管理看到了革命性的曙光,因为传统信息管理从时效性,还是安全性,还是可操作性等各个方面来讲,遇到了互联网时代才发现能补上自古以来的短板,有效的提升管理的效率和业务水平。传统的管理模式,时间越久管理的内容越多,也需要更多的人来对数据进行整理,并且数据的汇总查询方面效率也是极其的低下,并且数据安全方面永远不会保证安全性能。结合数据内容管理的种种缺点,在互联网时代都可以得到有效的补充。结合先进的互联网技术,开发符合需求的软件,让数据内容管理不管是从录入的及时性,查看的及时性还是汇总分析的及时性,都能让正确率达到最高,管理更加的科学和便捷。本次开发的校园二手书交易平台实现了图书信息查询。系统用到了关系型数据库中MySql作为系统的数据库,有效的对数据进行安全的存储,有效的备份,对数据可靠性方面得到了保证。并且程序也具备程序需求的所有功能,使得操作性还是安全性都大大提高,让校园二手书交易平台更能从理念走到现实,确确实实的让人们提升信息处理效率。 关键字:信息管理,时效性,安全性,MySql;Spring Boot
基于Springboot的 物流管理系统源码 (优秀毕业设计源码)
08-22
1. 物流管理系统代码说明:经导师指导并认可通过的98分毕设项目代码。 2.适用对象:本代码学习资料适用于计算机、电子信息工程、数学等专业正在做毕设的学生,需要项目实战练习的学习者,也适用于课程设计、期末大作业。 3.技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug! 4. 作者介绍:大厂码农,java领域创作者,阿里云开发社区乘风者计划专家博主,专注于大学生项目实战开发,文章底部有博主联系方式,更多优质系统、项目定制请私信。 5. 最新计算机软件毕业设计选题大全: https://blog.csdn.net/weixin_45630258/article/details/135901374
内置千条优质语料的训练集(应用于智能指导学习方向系统)
最新发布
08-22
内置5000多优质语料,专注于学习系统的优质语料。共有两列,一列是input提问,一列是target回答。都是人工去生成优质语料。 适合团队合作或者个人做智能学习问答系统系统,需要优质测试集的伙伴。 目标:以质量取胜,用优质的语料去当做测试集,会更加的有利于提高系统整体的效果。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

希潭实验室

您的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值