CVE-2020-1957 shiro权限绕过漏洞分析

最新推荐文章于 2024-07-24 11:14:57 发布
最新推荐文章于 2024-07-24 11:14:57 发布
阅读量1.5k 收藏
点赞数
文章标签: shiro 安全漏洞 信息安全 企业安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_22807425/article/details/108283839
版权

CVE-2020-1957 shiro权限绕过漏洞分析

0x00 前言

最近在看 CVE-2020-11989 ,11989是CVE-2020-1957后的⼀种绕过⽅法,这漏洞有references 所以按着来复现并写出了一些自己踩坑的点

0x01 漏洞背景

在这里插入图片描述

0x02 漏洞环境准备

1.下载demo代码

shiro-basic
https://github.com/lenve/javaboy-code-samples/tree/master/shiro/shiro-basic
使用https://minhaskamal.github.io/DownGit/#/home 即可下载

2.导入idea,maven自动加载依赖

3.修改Shiro版本为1.4.2

  <dependency>
        <groupId>org.apache.shiro</groupId>
        <artifactId>shiro-web</artifactId>
        <version>1.4.2</version>
    </dependency>
    <dependency>
        <groupId>org.apache.shiro</groupId>
        <artifactId>shiro-spring</artifactId>
        <version>1.4.2</version>
    </dependency>

4.修改springboot 内置端口

在application.properties 中增加配置 server.post=端口号
在这里插入图片描述

5.修改ShiroConfig配置文件

添加authc拦截器的拦截正则

    @Bean
    ShiroFilterFactoryBean shiroFilterFactoryBean() {
        ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
        //指定 SecurityManager
        bean.setSecurityManager(securityManager());
        //登录页面
        bean.setLoginUrl("/login");
        //登录成功页面
        bean.setSuccessUrl("/index");
        //访问未获授权路径时跳转的页面
        bean.setUnauthorizedUrl("/unauthorizedurl");
        //配置路径拦截规则,注意,要有序
        Map<String, String> map = new LinkedHashMap<>();
        map.put("/doLogin", "anon");
        //map.put("/**", "authc");
        map.put("/hello/*", "authc");
        bean.setFilterChainDefinitionMap(map);
        return bean;
    }

6.修改路由控制器方法

@GetMapping("/hello/{currentPage}")
    public String hello(@PathVariable Integer currentPage) {
        return "hello";
}

如果@PathVariable 报红色就用option+enter inport class即可

7.启动应用

springboot内置tomcat

在这里插入图片描述

0x03 漏洞复现

尝试访问http://127.0.0.1:8084/hello/1

由于我们修改了拦截的正则map.put("/hello/*", "authc");

访问/hello/1接口,可以看到被authc拦截器拦截了,将会302跳转到登录接口进行登录。

1.修改host

由于burp不能抓本地包,需要修改host

sudo vim /etc/hosts

添加一行
127.0.0.1  test.com

### 2.访问/hello/1 抓包 ![在这里插入图片描述](https://img-blog.csdnimg.cn/20200828172944858.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzIyODA3NDI1,size_16,color_FFFFFF,t_70#pic_center)

Follow redirection
在这里插入图片描述

3.绕过authc拦截

/hello/1/,绕过拦截
在这里插入图片描述

0x04 漏洞分析


根据参考文章漏洞初始成因定位到 PathMatchingFilterChainResolver的getChain函数下

该函数作用根据URL路径匹配中配置的url路径表达式来匹配输入的URL,判断是否匹配拦截器,匹配成功将会返回响应的拦截器执行链,让ShiroFither执行权限操作的。
其对于URL路径表达式和输入URL的匹配主要通过pathMathches函数进行匹配。

1.全局搜索PathMatchingFilterChainResolver的getChain

2.下断点,浏览器访问/hello/1


在这里插入图片描述

跟踪进pathMatches
在这里插入图片描述

发现会调用doMatch, AntPathMatcher (org.apache.shiro.util),继续跟踪下去

    public boolean match(String pattern, String path) {
        return this.doMatch(pattern, path, true);
    }

在这里插入图片描述

当Shiro 的Ant格式的pathPattern 中的的*通配符是不支持匹配路径的,所以/hello/* 不能成功匹配/hello/1/ ,也就不会触发authc拦截器进行权限拦截。从而成功绕过了Shiro拦截器

0x05 漏洞修复

https://github.com/apache/shiro/commit/589f10d40414a815dbcaf1f1500a51f41258ef70
增加了/结尾的判断,通过判断requestURI是否以/为结尾,如果以/结尾的话,则去掉尾部的/符号在与URL表达式进行比较。
在这里插入图片描述





后续的 有时间再调 先工作了,水平有限 不足之处还请原谅和提醒

0x06 References

  1. https://blog.riskivy.com/shiro-%e6%9d%83%e9%99%90%e7%bb%95%e8%bf%87%e6%bc%8f%e6%b4%9e%e5%88%86%e6%9e%90%ef%bc%88cve-2020-1957%ef%bc%89/
  2. https://github.com/lenve/javaboy-code-samples/tree/master/shiro/shiro-basic
  3. https://www.cnblogs.com/r00tuser/p/12575934.html

0x07 author:DesM0nd

李瑞宝
关注
shiro权限绕过漏洞分析(cve-2020-1957) _ Spoock1
08-03
然而,如标题和描述中提到的,存在一个名为CVE-2020-1957安全漏洞,允许攻击者绕过Shiro权限检查,从而访问受保护的资源。 该漏洞主要发生在Shiro 1.5.1及更早版本中,当用户请求的URL(URL1)通过Shiro权限...
shiro历史漏洞分析CVE-2020-1957漏洞
include_voidmain的博客
09-22 1965
shiro历史漏洞分析CVE-2020-1957漏洞
Shiro权限绕过漏洞CVE-2020-1957CVE-2020-11989、CVE-2020-13933)
weixin_46411728的博客
07-22 1607
Shiro权限绕过漏洞CVE-2020-1957CVE-2020-11989、CVE-2020-13933)
Apache Shiro 权限绕过漏洞CVE-2020-13933)
最新发布
qq_23003811的博客
07-24 295
Apahce Shiro 由于处理身份验证请求时出错 存在 权限绕过漏洞,远程攻击者可以发送特制的HTTP请求,绕过身份验证过程并获得对应用程序的未授权访问。1、对接口、目录进行fuzz获取敏感信息。2、在目录后面加%3b可以绕过权限验证。1、访问任意目录,发现要求登录。
CVE-2020-1957 Apache Shiro 认证绕过漏洞
m0_61506558的博客
09-17 1846
(一)介绍(一)介绍Apache Shiro是一款开源安全框架,它的功能主要用于身份验证、授权、会话管理、加密......漏洞发生原因是:登入的时候序列化保存了登入信息到cookie(序列化、AES加密、Base64)
CVE-2020-1957 shiro权限绕过简单分析
qq_17622203的博客
03-21 6264
白嫖了腾讯云的服务器,用vulhub起的环境 参考: CVE-2020-1957--Shiro授权访问_Anony吧的博客-CSDN博客_shiro授权访问 Apache Shiro 认证绕过漏洞CVE-2020-1957)_维梓梓的博客-CSDN博客 https://paper.seebug.org/1196/ 菜鸟教程 - 学的不仅是技术,更是梦想! 漏洞原因:我们请求的URL在整个项目的传入传递过程。在使用了shiro的项目中,是我们请求的URL(URL1),进过shiro权限检验(U
JAVA框架漏洞
weixin_68408599的博客
06-14 1443
此次漏洞出现在Apache Solr的DataImportHandler,该模块是一个可选但常用的模块,用于从数据库和其他源中提取数据。漏洞原因:我们请求的URL在整个项目的传入传递过程。Apache Shiro框架提供了Remember Me功能,用户登录成功后会生成经过加密并编码的Cookie,即使关闭了浏览器,再次访问时无需进行登录操作即可以之前的身份访问网站。漏洞的出现就在URL1,URL2和URL3 有可能不是同一个URL,这就导致我们能绕过shiro的校验,直接访问后端需要首选的URL。
shiro-cve-2020-17523:shiro-cve-2020-17523 漏洞的两种绕过姿势分析 以及配套的漏洞环境
05-23
Apache Shiro 两种姿势绕过认证分析CVE-2020-17523) 0x01 漏洞描述 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何...
S17-shiro权限绕过1
08-03
在本文中,我们将深入探讨 "S17-shiro权限绕过1" 的相关知识,包括 Shiro 的核心组件、权限配置以及可能存在的安全漏洞。 首先,我们需要理解 Shiro 的主要组件: 1. **Realm**: Realm 是 Shiro 与应用程序特定...
Apache Shiro Padding Oracle漏洞可导致远程命令执行漏洞解决
01-09
Apach Shiro官方披露其cookie持久化参数rememberMe加密算法存在漏洞,可被Padding Oracle攻击,攻击者利用Padding Oracle攻击手段可构造恶意的rememberMe值,绕过加密算法验证,执行java反序列化操作,最终可导致...
【技术分享】Shiro 权限绕过的历史线(下) .pdf
09-05
在本文中,我们将深入探讨Shiro权限绕过漏洞CVE-2020-13933,这是继CVE-2020-1957CVE-2020-11989之后的一个新发现。 **0x5 CVE-2020-13933 - 权限绕过漏洞** 该漏洞影响Shiro的1.6.0之前的版本,主要通过URL解码...
Shiro权限绕过漏洞分析CVE-2020-1957
mingyqf的博客
01-15 701
2020年3月23号,Shiro开发者Brian Demers在用户社区发表帖子,提醒shiro用户进行安全更新,本次更新进行了三个修复,其中就包括了对编号为CVE-2020-1957的Shrio授权绕过漏洞的修复。漏洞影响shiro 1.5.2版本以下。​。
CVE-2020-1957 漏洞复现
huohaowen的博客
06-19 447
在一开始翻阅了CSDN之后,发现不同文章之间存在出入,于是最后去了CVE的官方文档,和参考一些国外的底层代码审计人员的报告,发现原理和CSDN上的部分文章存在出入,但是POC是相同的。在新版本的Shiro中GetRequestURL是由contextPath()+ servletPath()+ pathinfo() 这三个函数组合而成,当黑客传入。POC之后,在Shiro的过滤之下,返回的路径将会变成/admin/成功匹配,不会放行,成功防止了权限绕过。然后我们用我们的POC去访问,成功绕过身份验证。
shiro CVE-2020-1957
王嘟嘟的博客
02-19 934
也就是说,shiro认为/a/1/是一个不需要授权就可以访问的接口,但是spring认为/a/1/访问的是/a/1需要授权的接口,spring认为shiro安全的,所以直接放行了。
Apache Shiro 认证绕过漏洞CVE-2020-1957漏洞复现
m0_55854679的博客
07-31 437
CVE-2020-1957,Spring Boot中使用 Apache Shiro 进行身份验证、权限控制时,可以精心构造恶意的URL,利用 Apache Shiro 和 Spring Boot 对URL的处理的差异化,可以绕过 Apache Shiro 对 Spring Boot 中的 Servlet 的权限控制,越权并实现未授权访问。...
复现 CVE-2020-1957( Apache Shiro 认证绕过漏洞
记录并分享学习安全的知识点..
01-18 2442
一、漏洞描述 Apache Shiro 1.5.2之前版本中存在安全漏洞。攻击者可借助特制的请求利用该漏洞绕过身份验证。 Shiro框架通过拦截器功能来对用户访问权限进行控制,如anon, authc等拦截器。anon为匿名拦截器,不需要登录即可访问;authc为登录拦截器,需要登录才可以访问。Shiro的URL路径表达式为Ant格式,路径通配符*表示匹配零个或多个字符串,比如:/*可以匹配/hello,但是匹配不到/hello/,因为*通配符无法匹配路径。假设/hello接口设置了authc拦截器,访
Apache shiro 权限绕过CVE-2020-1957)
YouthBelief的博客
11-14 1693
CVE-2020-1957Apache shiro 权限绕过CVE-2020-1957)0x01 漏洞描述0x02 影响范围0x03 漏洞复现0x04 漏洞修复 所有文章,仅供安全研究与学习之用,后果自负! Apache shiro 权限绕过CVE-2020-1957) Apache Shiro是美国阿帕奇(Apache)软件基金会的一套用于执行认证、授权、加密和会话管理的Java安全框架。 0x01 漏洞描述 Shiro框架通过拦截器功能来对用户访问权限进行控制, 如anon, authc等拦截器。a
其他的 框架安全:Apache Shiro 漏洞序列.(CVE-2016-2807)
网络安全领域___专研者.
05-12 589
Apache Shiro 是一个强大且易用的Java安全框架,它为应用程序提供了身份验证、授权、加密和会话管理等常见的安全功能。漏洞大多会发生在登录处,返回包里包含remeberMe=deleteMe字段。
Shiro 权限绕过漏洞复现(CVE-2020-1957
m0_48520508的博客
01-27 2639
0x00简介 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 0x01漏洞概述 Shiro框架通过拦截器功能来对用户访问权限进行控制,如anon, authc等拦截器。anon为匿名拦截器,不需要登录即可访问;authc为登录拦截器,需要登录才可以访问。主要是Spring web在匹配url的时候没有匹配上/导致绕过 0x02影响范围 Ap
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值