CVE-2020-1957 shiro权限绕过简单分析

最新推荐文章于 2024-07-15 14:26:27 发布
最新推荐文章于 2024-07-15 14:26:27 发布
阅读量915 收藏 2
点赞数 1
分类专栏: java 文章标签: java 开发语言 apache 学习 spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nana1253431195/article/details/126640183
版权

白嫖了腾讯云的服务器,用vulhub起的环境

参考: CVE-2020-1957–Shiro未授权访问_Anony吧的博客-CSDN博客_shiro未授权访问

Apache Shiro 认证绕过漏洞(CVE-2020-1957)_维梓梓的博客-CSDN博客

https://paper.seebug.org/1196/

菜鸟教程 - 学的不仅是技术,更是梦想!

漏洞原因:我们请求的URL在整个项目的传入传递过程。在使用了shiro的项目中,是我们请求的URL(URL1),进过shiro权限检验(URL2), 最后到springboot项目找到路由来处理(URL3)

漏洞的出现就在URL1,URL2和URL3 有可能不是同一个URL,这就导致我们能绕过shiro的校验,直接访问后端需要首选的URL。本例中的漏洞就是因为这个原因产生的。

HttpServletRequest对象代表客户端的请求,当客户端通过HTTP协议访问服务器时,HTTP请求头中的所有信息都封装在这个对象中,通过这个对象提供的方法,可以获得客户端请求的所有信息。

②Java 提供了 String 类来创建和操作字符串。

③**getAttribute()**表示从request范围取得设置的属性,必须要通过setAttribute设置属性,才能通过getAttribute取得。设置和取得的值都是Object类型。

getRequestURI,获取当前url的路径文件,不加参数,带/;

没学过java 大概理解下这段代码的意思是获取请求包中的url,此时获取的url是 我们传入的原始URL: “/xxx/…;/admin/”

decodeAndCleanUriString字面意思应该是解码和清除url中一些字符。

HttpServletRequest对象代表客户端的请求,当客户端通过HTTP协议访问服务器时,HTTP请求头中的所有信息都封装在这个对象中,通过这个对象提供的方法,可以获得客户端请求的所有信息。

indexOf 返回指定字符在字符串中第一次出现处的索引,如果此字符串中没有这样的字符,则返回 -1。

substring() 方法返回字符串的子字符串。 newString(“This is text”); Str.substring(4)返回值 : is text

⑤ A ? B :C (如果A为真执行B否则执行C) 大概意思是 匹配uri中是否有分号 “ ; ”,如果有,截取分号前面的部分,如果没有则不变。由此,现在url变为“/xxx/…”然后调用normalize() 对decodeAndCleanUriString()处理得到的路径进行标准化处理. 标准话的处理包括:

  • 替换反斜线
  • 替换 // 为 /
  • 替换 /./ 为 /
  • 替换 /…/ 为 /

(此时uri参数貌似没变动,只是新建了一个semicolonIndex用来截取分号前部分)

String pathWithinApp =getPathWhthinApplication(request) 我的理解是将request中请求的url提取出来,所以此时 pathWithinApp的值为初始url /xxx/…;/admin/

getServletPath() 匹配的结果与 web.xml 里的配置有关 用法参照 request.getServletPath() 和 request.getPathInfo() 的用法与区别。 - 教程文章 - 时代Java,与您同行!

contains() 方法用于判断字符串中是否包含指定的字符或字符串。

如果servletPath中不包含sanitizedPathWithinApp,那么执行第一个else语句。getRemainingPath英文直译是获取剩余路径,这里可能是一个自定义的函数(我是真的不懂java)结合下面的注释猜测可能是判断pathWithinApp和servletPath是否相同

第二个else 显示获取pathinfo,如果不为空就返回pathinfo。

最后返回了servletPath 值为 /admin/ 绕过了验证访问到了admin界面。

整个请求过程:

  1. 客户端请求URL: /xxx/…;/admin/
  2. shrio 内部处理得到校验URL为 /xxx/… 校验通过
  3. springboot 处理 /xxx/…;/admin/ 最终请求 /admin/ 成功访问了后台请求.

影响版本:Apache Shiro < 1.5.3

复现过程:

docker-compose up -d 启动环境后访问 http://ip:8080

burp抓包

将url改为admin会显示302跳转到登录界面

将url改为/xxx/…;/admin/后绕过了登录

docker-compose down 关闭环境。

娜娜带你学架构师
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
shiro权限绕过
人若有志,就不会在半坡停止。
11-08 2132
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。
CVE-2020-1957 漏洞复现
huohaowen的博客
06-19 375
在一开始翻阅了CSDN之后,发现不同文章之间存在出入,于是最后去了CVE的官方文档,和参考一些国外的底层代码审计人员的报告,发现原理和CSDN上的部分文章存在出入,但是POC是相同的。在新版本的Shiro中GetRequestURL是由contextPath()+ servletPath()+ pathinfo() 这三个函数组合而成,当黑客传入。POC之后,在Shiro的过滤之下,返回的路径将会变成/admin/成功匹配,不会放行,成功防止了权限绕过。然后我们用我们的POC去访问,成功绕过身份验证。
shiro 权限绕过CVE-2020-1957
最新发布
qq_23003811的博客
07-15 396
Apache Shiro是美国阿帕奇(Apache)软件基金会的一套用于执行认证、授权、加密和会话管理的Java安全框架。Shiro框架通过拦截器功能来对用户访问权限进行控制,如anon, authc等拦截器。anon为匿名拦截器,不需要登录即可访问;authc为登录拦截器,需要登录才可以访问。,修改any达到任意接口访问,原理是url遇到;分号只执行前面的链接,/../hello/1/作用是绕过权限验证。1、正常接口访问会重定向到登录页面,
Shiro权限绕过漏洞
qq_42947816的博客
02-03 3118
Apache Shiro 1.5.2以前的版本中,在使用Spring动态控制器时,攻击者通过构造恶意Payload,可以绕过Shiro中对目录的权限限制
shiro权限绕过漏洞分析(cve-2020-1957) _ Spoock1
08-03
然而,如标题和描述中提到的,存在一个名为CVE-2020-1957的安全漏洞,允许攻击者绕过Shiro权限检查,从而访问受保护的资源。 该漏洞主要发生在Shiro 1.5.1及更早版本中,当用户请求的URL(URL1)通过Shiro权限...
shiro-cve-2020-17523:shiro-cve-2020-17523 漏洞的两种绕过姿势分析 以及配套的漏洞环境
05-23
Apache Shiro 两种姿势绕过认证分析CVE-2020-17523) 0x01 漏洞描述 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何...
S17-shiro权限绕过1
08-03
在本文中,我们将深入探讨 "S17-shiro权限绕过1" 的相关知识,包括 Shiro 的核心组件、权限配置以及可能存在的安全漏洞。 首先,我们需要理解 Shiro 的主要组件: 1. **Realm**: Realm 是 Shiro 与应用程序特定...
【技术分享】Shiro 权限绕过的历史线(下) .pdf
09-05
在本文中,我们将深入探讨Shiro权限绕过漏洞CVE-2020-13933,这是继CVE-2020-1957CVE-2020-11989之后的一个新发现。 **0x5 CVE-2020-13933 - 权限绕过漏洞** 该漏洞影响Shiro的1.6.0之前的版本,主要通过URL解码...
shiro1.7.1.zip
03-25
同时,提到了“权限绕过漏洞 (CVE-2020-17523)”,这是一个重要的安全问题。CVE-2020-17523是Apache Shiro2020年发现的一个安全漏洞,攻击者可能利用该漏洞绕过权限检查,访问未授权的资源。Shiro 1.7.1应该已经...
Shiro权限绕过漏洞(CVE-2020-1957CVE-2020-11989、CVE-2020-13933)
weixin_46411728的博客
07-22 1420
Shiro权限绕过漏洞(CVE-2020-1957CVE-2020-11989、CVE-2020-13933)
漏洞通告│Oracle JDeveloper 远程代码漏洞;Apache Shiro权限绕过漏洞
zz_tech的博客
07-01 3071
众至实验室漏洞通告Oracle JDeveloper 远程代码漏洞;Apache Shiro权限绕过漏洞
Apache Struts 修复 OGNL 技术中可能存在的 RCE 缺陷
smellycat000的专栏
12-11 383
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队Apache 软件基金会发布 Struts 2 安全更新,修复了一个和 OGNL 技术相关的“很可能存在的远程代码执行“缺陷...
shiro权限绕过漏洞
m0_67392931的博客
08-30 1288
该漏洞可以用以下方法复现,首先在spring-context-shiro.xml中,配置 /hello/* = authc;Apahce Shiro 由于处理身份验证请求时出错,存在“权限绕过漏洞”(漏洞编号:CVE-2020-11989),远程攻击者可以发送特制的HTTP请求,绕过身份验证过程,并获得对应用程序的未授权访问。(2)删除shiro开头的jar包,集成单点登录的shiro-cas 不用删。注意:ant风格的路径仅出现一个*时才能成功,而**无法绕过。这里可以通过url双编码的方式或地址栏加;.
Apache shiro 权限绕过CVE-2020-1957)
YouthBelief的博客
11-14 1684
CVE-2020-1957Apache shiro 权限绕过CVE-2020-1957)0x01 漏洞描述0x02 影响范围0x03 漏洞复现0x04 漏洞修复 所有文章,仅供安全研究与学习之用,后果自负! Apache shiro 权限绕过CVE-2020-1957) Apache Shiro是美国阿帕奇(Apache)软件基金会的一套用于执行认证、授权、加密和会话管理的Java安全框架。 0x01 漏洞描述 Shiro框架通过拦截器功能来对用户访问权限进行控制, 如anon, authc等拦截器。a
Shiro 授权绕过CVE-2022-32532)
YangYubo091699的博客
02-02 743
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理A。1.9.1 之前的 Apache Shiro,RegexRequestMatcher 可能被错误配置为在某些 servlet 容器上被绕过。在正则表达式中使用带有的 RegExPatternMatcher 的应用程序可能容易受到授权绕过
Shiro安全(四):Shiro权限绕过Shiro-782
weixin_43263451的博客
08-07 1737
刚好在学shiro安全,就看了看shiro权限绕过方面的洞学习一下shiro的配置与使用https://cloud.tencent.com/developer/article/1643122影响版本:shiro < 1.5.3添加shiro配置Shiro 中的匹配规则是通过 AntPathMatcher 来进行实现的? 匹配一个字符 * 匹配一个或多个字符 ** 匹配一个或多个目录ps:这里的规则是 /admin/* 所以 Shiro 并不会对多个目录进行权限校验,例如:/admin/aaa/bbb 这
Istio安全漏洞CVE-2020-8595:认证绕过分析
这个漏洞允许攻击者绕过Istio的认证策略,对Service Mesh中的数据流进行未授权访问。问题出在Istio的Authentication Policy中精确路径匹配的实现上,具体涉及‘/status/version’路径。" 在Istio的认证策略中,一个...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值