tomcat配置访问路径权限_Apache Shiro权限绕过漏洞分析(CVE202011989)

最新推荐文章于 2023-08-11 18:00:00 发布
最新推荐文章于 2023-08-11 18:00:00 发布
阅读量666 收藏
点赞数
文章标签: tomcat配置访问路径权限
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39615643/article/details/111348949
版权
c75c66cdc4509a3f9efc910a1b5a202e.png

Apache Shiro 作为常用的 Java 安全框架,拥有执行身份验证、授权、密码和会话管理等功能,通常会和 Spring 等框架一起搭配使用来开发 Web 应用。笔者最近捣鼓 Shiro 本来是打算参考最近 Shiro 的一些 issue 然后为 SCTF 出题的,但在测试过程中却发现了一些新的缺陷能导致权限绕过,便报告给 Apache Shiro 官方。在此同时玄武实验室安全研究人员也单独发现了另外一种绕过方式,具体可见参考链接。

影响范围

  • Apache Shiro < 1.5.3

  • Spring 框架中只使用 Shiro 鉴权

漏洞复现

测试 Demo :

https://github.com/l3yx/springboot-shiro

权限配置如下,其中 /admin 下的路由需要登录才能访问

@BeanShiroFilterFactoryBean shiroFilterFactoryBean(){   ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();   bean.setSecurityManager(securityManager());   bean.setLoginUrl("/login");   bean.setSuccessUrl("/index");   bean.setUnauthorizedUrl("/unauthorizedurl");   Mapmap = new LinkedHashMap<>();   map.put("/doLogin", "anon");   map.put("/admin/*", "authc");   bean.setFilterChainDefinitionMap(map);   return  bean;}---@GetMapping("/admin/page")public String admin() {   return "admin page";}

maven 打包项目为 test.war ,部署于 Tomcat 。该漏洞成功利用存在下面两个条件

1.应用不能部署在根目录,也就是需要 context-path , server.servlet.context-path=/test ,如果为根目录则 context-path 为空,就会被 CVE-2020-1957 的 patch 将 URL 格式化,值得注意的是若 Shiro 版本小于 1.5.2 的话那么该条件就不需要。

2. Spring 控制器中没有另外的权限校验代码

如果直接访问 /test/admin/page ,会返回302跳转要求登录

93e25c77e33cb3a0e9adbbf0e1052ff2.png

但是访问/;/test/admin/page , 就能直接绕过 Shiro 权限验证,访问到 /admin 路由中的信息

1463aea8f8b0eb6a9694f26cf49879bb.png

 漏洞分析

由于Shiro的权限校验是通过判断 URL 匹配来做的,如果能找到 Shiro 获取的 URL 与 Web 框架处理 URL 不一致的情况就能造成权限绕过。Shiro 中对于 URL 的获取及匹配在

org.apache.shiro.web.filter.mgt.PathMatchingFilterChainResolver#getChain

以访问 /;/test/admin/page 举例,通过 getPathWithinApplication 函数得到的路径为 / 

5417e9cc10c45ea4fd59fcb44715a90a.png

跟入该函数的处理逻辑org.apache.shiro.web.util.WebUtils#getPathWithinApplication

e227fd542ab2992116508f2ba07ce98c.png

可以看到 org.apache.shiro.web.util.WebUtils#getRequestUri 获取到的是 / 

40a1d8d96746eabde44984f3c46fcc8d.png

这里分别通过 getContextPath() getServletPath() getPathInfo() 获取并拼接得到 /;/test//admin/page ,传入后 decodeAndCleanUriString 变成了 / , org.apache.shiro.web.util.WebUtils#decodeAndCleanUriString

227cb8ad8ba212dfd2e17e3af460a617.png

在 decodeAndCleanUriString ,会根据 Ascii 为 59 的字符也就是 ; 进行 URL 的截断,所以最终返回了 / 

回到最开始的 /;/test/admin/page 请求,该 request 请求会进入 Spring 中, Spring 处理 URL 函数如下org.springframework.web.util.UrlPathHelper#getPathWithinServletMapping

a134e0b31dd744b41c7191379f69afba.png a744c99c8eba62b134dcb5817844fdec.png

在 getPathWithinApplication 处理下是能正确获取到 context-path 与路由,最终经过 getPathWithinServletMapping 函数格式化处理后,得到最终路径为 /admin/page ,所以我们可以正常访问到该页面

1463aea8f8b0eb6a9694f26cf49879bb.png

因此总结来说就是当 URL 进入到 Tomcat 时, Tomcat 判断 /;test/admin/page 为 test 应用下的 /admin/page 路由,进入到 Shiro 时被 ; 截断被认作为 / ,再进入 Spring 时又被正确处理为 test 应用下的 /admin/page 路由,最后导致 Shiro 的权限绕过。

漏洞修复与安全建议

Shiro 1.5.3 修改了 URL 获取的逻辑,不单独处理 context-path ,具体代码如下所示 org.apache.shiro.web.util.WebUtils#getPathWithinApplication

fab18bd73dad933207108e3d6b4cd865.png

因此就无法再通过构造 context-path 的方式来进行绕过了。

建议组件使用者升级至 Apache Shiro 1.5.3 或更高版本

漏洞处理时间线

  • 2020-6-18 16:30 边界无限安全研究员淚笑向 Apache Shiro 官方报告漏洞

  • 2020-6-19 00:04 Apache Shiro 开始处理漏洞,issue 为 SHIRO-782 

  • 2020-6-22 22:49 Apache Shiro 发布致谢

参考链接

  • https://xlab.tencent.com/cn/2020/06/30/xlab-20-002/ 

4510a6c745d653ed88847adb54d504fa.png

weixin_39615643
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
tomcat(war后门绕过渗透)
qq_57147160的博客
01-05 3201
首先第一道题目就是查看版本号的: 我们先用nmap扫一下有什么端口: 题目提到tomcat那就是这两个端口最可疑了,我们先访问一下8080端口: 版本号自然就出来了: 第二道题目说找到其中利用的密码爆破模块: 我们再msfconsole平台中搜索一下: 找到一个爆破模块,我们提权看看正不正确: 答案果然就是这个。 下一道题目将账号密码做为flag提交: 那我们就利用刚刚的模块来进行爆破,现在主要的是密码字典和账号字典。 刚刚我们扫描端口时扫出了2
shiro权限绕过漏洞分析(cve-2020-1957) _ Spoock1
08-03
在使用了shiro的项目中,是我们请求的URL(URL1),进过shiro权限检验(URL2), 最后到springboot项目找到路由来处理(URL3)漏洞
Apache Shiro身份验证绕过漏洞(CVE-2020-13933)
07-17
直接使用java -jar srping....war命令运行即可 执行之后,访问http://主机的IP:8888/admin/*或者http://主机的IP:8888/login
tomcat配置访问路径权限_Apache Shiro权限绕过漏洞
weixin_39640573的博客
12-01 683
相关知识1、什么是ApacheShiroApache Shiro是一种功能强大且易于使用的Java安全框架,它执行身份验证、授权、密和会话管理,可用于保护任何应用程序的安全。Shiro提供了应用程序安全性API来执行以下方面:1)身份验证:证明用户身份,通常称为用户‘登录’;2)授权:访问控制;3)密码术:保护或隐藏数据以防窥视;4)会话管理:每个用户的时间敏感状态。上述四个方面也被称...
tomcat ajp协议安全限制绕过漏洞_Apache Tomcat文件包含漏洞分析
weixin_39918928的博客
11-29 639
更多安全资讯和分析文章请关注启明星辰ADLab微信公众号及官方网站(adlab.venustech.com.cn)一、漏洞概述2020年2月20日,国家信息安全漏洞共享平台(CNVD)发布关于Apache Tomcat的安全公告,Apache Tomcat文件包含漏洞(CNVD-2020-10487,对应CVE-2020-1938)。Tomcat AJP协议由于存在实现缺陷导致相关参数可...
Apache Tomcat安全限制绕过漏洞 CVE-2017-5664
INSBUG的博客
08-11 496
Tomcat的核心功能有两个,其中连接器负责监听网络端口,接收和响应网络请求,并将收到的网络字节流转换成 Tomcat Request 再转成标准的 ServletRequest 给容器,同时将容器传来的 ServletResponse 转成 Tomcat Response 再转成网络字节流。该漏洞Tomcat-catalina组件处理访问错误资源请求时,如404,500,此时若服务器存在自定义的错误页面则会将请求交给DefaultServlet处理,从而可能导致错误页面被重写。
tomcat路径问题
goflyfreely的专栏
03-10 593
http://lhkzyz.iteye.com/blog/1666187
Tomcat 配置权限
DovSnier 专栏
04-18 5932
以前配置过,现在忘了,特此记录;下载好Tomcat,解压后,配置好Java 环境变量,启动startup.bat ,打开浏览器,http://localhost:8080/ ,如图所示:       如果没有配置 ...\apache-tomcat-9.0.7\conf\tomcat-users.xml,点击Server Status 按钮会有如下提示:    因此,简要记录,具体配置角色定义看上...
Apache Shiro 身份验证绕过漏洞复现(CVE-2016-6802)
渗透测试研究中心
11-29 274
0x00 漏洞详情shiro路径控制的时候,未能对传入的url编码进行decode解码,导致攻击者可以绕过过滤器,访问被过滤的路径。0x01 漏洞影响shrio <1.3.20x02 环境搭建由于这个版本还没有shiro-spring-boot-starter,只能从 GitHub 上获取项目进行测试,https://github.com/godzeo/shiro_1.2.4_samp...
Apache Shiro 身份验证绕过漏洞 复现(CVE-2020-11989)
渗透测试研究中心
11-29 438
0x00 漏洞简述Apache Shiro 1.5.3之前的版本中,当将Apache Shiro与Spring动态控制器一起使用时,精心编制的请求可能会导致绕过身份验证,如果直接访问 /shiro/admin/page ,会返回302跳转要求登录,访问 /;/shiro/admin/page , 就能直接绕过Shiro权限验证,访问到/admin路由中的信息0x01 漏洞影响Apache Shi...
Apache Shiro 身份验证绕过漏洞安全风险通告
03-24
Apache Shiro 身份验证绕过漏洞安全风险通告
shiro认证绕过漏洞分析(CVE-2020-13933)1
08-03
1、去 https://start.spring.io/ 使用springboot脚手架搭建一个java8的springboot项目 2、用IDEA打开该项目,
SpringBoot + Apache Shiro1.9.1 最新版本详细教程,基于RBAC角色访问、安全管理框架、用户角色权限
07-26
springboot、shiro、mybatis、mybatis plus、mysql、thymeleaf、 3、实现功能:登陆认证、密码密、权限授权等 4、优点:快速上手、全面支持验证、授权、密和会话、灵活自定义设计、支持web环境、可以无缝集成...
Java开发案例-springboot-19-校验表单重复提交-源代码+文档.rar
05-31
Java开发案例-springboot-19-校验表单重复提交-源代码+文档.rar Java开发案例-springboot-19-校验表单重复提交-源代码+文档.rar Java开发案例-springboot-19-校验表单重复提交-源代码+文档.rar Java开发案例-springboot-19-校验表单重复提交-源代码+文档.rar Java开发案例-springboot-19-校验表单重复提交-源代码+文档.rarJava开发案例-springboot-19-校验表单重复提交-源代码+文档.rar Java开发案例-springboot-19-校验表单重复提交-源代码+文档.rar
基于android的公司员工考勤综合信息平台源码.zip
05-31
提供的源码资源涵盖了安卓应用、小程序、Python应用和Java应用等多个领域,每个领域都包含了丰富的实例和项目。这些源码都是基于各自平台的最新技术和标准编写,确保了在对应环境下能够无缝运行。同时,源码中配备了详细的注释和文档,帮助用户快速理解代码结构和实现逻辑。 适用人群: 这些源码资源特别适合大学生群体。无论你是计算机相关专业的学生,还是对其他领域编程感兴趣的学生,这些资源都能为你提供宝贵的学习和实践机会。通过学习和运行这些源码,你可以掌握各平台开发的基础知识,提升编程能力和项目实战经验。 使用场景及目标: 在学习阶段,你可以利用这些源码资源进行课程实践、课外项目或毕业设计。通过分析和运行源码,你将深入了解各平台开发的技术细节和最佳实践,逐步培养起自己的项目开发和问题解决能力。此外,在求职或创业过程中,具备跨平台开发能力的大学生将更具竞争力。 其他说明: 为了确保源码资源的可运行性和易用性,特别注意了以下几点:首先,每份源码都提供了详细的运行环境和依赖说明,确保用户能够轻松搭建起开发环境;其次,源码中的注释和文档都非常完善,方便用户快速上手和理解代码;最后,我会定期更新这些源码资源,以适应各平台技术的最新发展和市场需求。
珍藏很久的一套源码升级了很多
05-31
很强大的阿凤飞飞的身份就把饭啦啊开房记录看妇科阿里看到就考虑是否就解放路口空间按时到路口附近开了房间卡拉的时间分开垃圾的浪费空间按可浪费阿克纠纷的看了觉得空房间看大神经费卡上的减肥快接啊看来积分卡时间分开拉丝机房里看见啦开恐怕为日文名弄法卡上的健康饭卡里解放开了哈嘎考虑对方好几万呢uaho时到路口附近开了房间卡拉的时间分开垃圾的浪费空间按可浪费阿克纠纷的看了觉得空房间看大神经费卡上的减肥快接啊看来积分卡时间分开拉丝机房里看见啦开恐怕为日文名弄法卡上的健康饭卡里解放开了哈嘎考虑对方好几万呢uaho上的健康饭卡里解放开了哈嘎考虑对方好几万呢uaho时到路口附近开了房间卡拉的时间分开垃圾的浪费空间按可浪费阿克纠纷的看了觉得空房间看大神经费卡上的减肥快接啊看来积分卡时间分开拉丝机房里看见啦开恐怕为日文名弄法卡上的健康饭卡里解放开了哈嘎考虑对方好几万呢uaho垃圾的浪费空间按可浪费阿克纠纷的看了觉得空房间看大神经费卡上的减肥快接啊看来积分卡时间分开拉丝机房里看见啦开恐怕为日文名弄法卡上的健康饭卡里解放开了哈嘎考虑对方好几万呢uaho上的健康饭卡里解放开了哈嘎考虑对方好几万呢uaho时到路口附近开
附件二六个指标与权重得分 - 副本.xlsx
05-31
附件二六个指标与权重得分 - 副本
自学助词自学助词自学助词
05-31
自学助词自学助词自学助词
ipywidgets-7.7.3.tar.gz
最新发布
05-31
Python库是一组预先编写的代码模块,旨在帮助开发者实现特定的编程任务,无需从零开始编写代码。这些库可以包括各种功能,如数学运算、文件操作、数据分析和网络编程等。Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息。
spring boot 解决Apache Shiro身份认证绕过漏洞(CVE-2023-22602)
06-02
对于Spring Boot项目中的Apache Shiro身份认证绕过漏洞(CVE-2023-22602),可以通过以下步骤进行解决: 1.升级Apache Shiro到1.7.1或更高版本。可以在项目的Maven或Gradle依赖中更新Apache Shiro的版本。 2.检查应用程序的Shiro配置文件,确保已正确配置了身份认证。例如,应该使用密码哈希来存储用户的密码,并使用适当的密算法来保护密码。 3.禁用Shiro的RememberMe功能,以防止身份验证绕过攻击。可以在Shiro配置文件中添以下配置: ``` securityManager.rememberMeManager.cookie.enabled = false ``` 这将禁用RememberMe cookie。 4.限制登录尝试次数,以防止暴力攻击。可以使用Spring Security等其他安全框架来实现此功能。 这些措施可以有效地防止Apache Shiro身份认证绕过漏洞(CVE-2023-22602)。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值