白嫖了腾讯云的服务器,用vulhub起的环境
参考: CVE-2020-1957–Shiro未授权访问_Anony吧的博客-CSDN博客_shiro未授权访问
Apache Shiro 认证绕过漏洞(CVE-2020-1957)_维梓梓的博客-CSDN博客
https://paper.seebug.org/1196/
漏洞原因:我们请求的URL在整个项目的传入传递过程。在使用了shiro的项目中,是我们请求的URL(URL1),进过shiro权限检验(URL2), 最后到springboot项目找到路由来处理(URL3)
漏洞的出现就在URL1,URL2和URL3 有可能不是同一个URL,这就导致我们能绕过shiro的校验,直接访问后端需要首选的URL。本例中的漏洞就是因为这个原因产生的。
①HttpServletRequest对象代表客户端的请求,当客户端通过HTTP协议访问服务器时,HTTP请求头中的所有信息都封装在这个对象中,通过这个对象提供的方法,可以获得客户端请求的所有信息。
②Java 提供了 String 类来创建和操作字符串。
③**getAttribute()**表示从request范围取得设置的属性,必须要通过setAttribute设置属性,才能通过getAttribute取得。设置和取得的值都是Object类型。
④getRequestURI,获取当前url的路径文件,不加参数,带/;
没学过java 大概理解下这段代码的意思是获取请求包中的url,此时获取的url是 我们传入的原始URL: “/xxx/…;/admin/”
①decodeAndCleanUriString字面意思应该是解码和清除url中一些字符。
②HttpServletRequest对象代表客户端的请求,当客户端通过HTTP协议访问服务器时,HTTP请求头中的所有信息都封装在这个对象中,通过这个对象提供的方法,可以获得客户端请求的所有信息。
③ indexOf 返回指定字符在字符串中第一次出现处的索引,如果此字符串中没有这样的字符,则返回 -1。
④ substring() 方法返回字符串的子字符串。 newString(“This is text”); Str.substring(4)返回值 : is text
⑤ A ? B :C (如果A为真执行B否则执行C) 大概意思是 匹配uri中是否有分号 “ ; ”,如果有,截取分号前面的部分,如果没有则不变。由此,现在url变为“/xxx/…”然后调用normalize() 对decodeAndCleanUriString()处理得到的路径进行标准化处理. 标准话的处理包括:
- 替换反斜线
- 替换 // 为 /
- 替换 /./ 为 /
- 替换 /…/ 为 /
(此时uri参数貌似没变动,只是新建了一个semicolonIndex用来截取分号前部分)
String pathWithinApp =getPathWhthinApplication(request) 我的理解是将request中请求的url提取出来,所以此时 pathWithinApp的值为初始url /xxx/…;/admin/
getServletPath() 匹配的结果与 web.xml 里的配置有关 用法参照 request.getServletPath() 和 request.getPathInfo() 的用法与区别。 - 教程文章 - 时代Java,与您同行!
contains() 方法用于判断字符串中是否包含指定的字符或字符串。
如果servletPath中不包含sanitizedPathWithinApp,那么执行第一个else语句。getRemainingPath英文直译是获取剩余路径,这里可能是一个自定义的函数(我是真的不懂java)结合下面的注释猜测可能是判断pathWithinApp和servletPath是否相同
第二个else 显示获取pathinfo,如果不为空就返回pathinfo。
最后返回了servletPath 值为 /admin/ 绕过了验证访问到了admin界面。
整个请求过程:
- 客户端请求URL: /xxx/…;/admin/
- shrio 内部处理得到校验URL为 /xxx/… 校验通过
- springboot 处理 /xxx/…;/admin/ 最终请求 /admin/ 成功访问了后台请求.
影响版本:Apache Shiro < 1.5.3
复现过程:
docker-compose up -d 启动环境后访问 http://ip:8080
burp抓包
将url改为admin会显示302跳转到登录界面
将url改为/xxx/…;/admin/后绕过了登录
docker-compose down 关闭环境。