🍬 博主介绍
👨🎓 博主介绍:大家好,我是 _PowerShell ,很高兴认识大家~
✨主攻领域:【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】
🎉点赞➕评论➕收藏 == 养成习惯(一键三连)😋
🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋
🙏作者水平有限,欢迎各位大佬指点,相互学习进步!
文章目录
一、漏洞简介
Apache Shiro 是一个强大且易用的 Java 安全框架,通过它可以执行身份验证、授权、密码和会话管理。使用 Shiro 的易用 API,您可以快速、轻松地保护任何应用程序 —— 从最小的移动应用程序到最大的 WEB 和企业应用程序。
2022年6月29日,Apache官方披露Apache Shiro权限绕过漏洞(CVE-2022-32532),当Apache Shiro中使用RegexRequestMatcher进行权限配置,且正则表达式中携带"."时,未经授权的远程攻击者可通过构造恶意数据包绕过身份认证,导致配置的权限验证失效。
二、漏洞编号
CVE-2022-32532
三、影响版本
Apache Shiro < 1.9.1
四、Fofa
"Apache Shiro"
五、漏洞检测
在config\pom.xml的version标签中查看当前使用的shiro版本号。
六、漏洞原理
在正则表达式中元字符.是匹配除换行符(\n、\r)之外的任何单个字符。
要匹配包括 \n 在内的任何字符,需使用像(.|\n)的模式。
在java中的正则默认情况下.也同样不会包含\n、\r字符,因此在一些场景中,使用正则.的规则就有可能被绕过。
新增Pattern.DOTALL模式后,正则表达式.就可以匹配任何字符包括换行符。
在shiro-core-1.9.0.jar中存在一个RegExPatternMatcher类,提供请求路径匹配功能及拦截器参数解析的功能。pattern存在带.的正则表达式匹配,若source中存在\r或\n字符时,将判断错误。
七、环境准备
我这里使用的是 vulfocus 靶场,大家也可以自行搭建靶场。我就为了省事儿,就用了 vulfocus 复现的
https://vulfocus.cn/
vulfocus 筛选靶场如下,直接搜索需要的靶场环境就可以了,在这里也给大家推荐一下八,可以为需要大量复现漏洞的安全工作者节省大量时间。
这个下面就是平台给出的镜像信息和一些提示信息。我们直接访问他所给的 ip+端口 就可以访问到我们的靶场环境了。
访问所给ip:端口
八、漏洞利用
1、访问站点
直接访问ip:端口,抓包如下
2、get方式/permit/any不加token
把抓到的包放到重发模块,以get方式/permit/any
访问被拒绝
3、get方式/permit/any加token
把抓到的包放到重发模块,以get方式/permit/any,并加token进行身份认证
访问成功
4、使用 %0a 进行权限绕过
把抓到的包放到重发模块,以get方式/permit/a%0any
访问成功
九、修复建议
目前Apache官方已发布此漏洞修复版本,建议用户尽快升级至Apache Shiro 1.9.1及以上版本。
https://github.com/apache/shiro/releases/tag/shiro-root-1.9.1
扫一扫
1256
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
