Shiro安全(五):Shiro权限绕过之Shiro-682&CVE-2020-13933

最新推荐文章于 2023-01-15 10:19:11 发布
最新推荐文章于 2023-01-15 10:19:11 发布
阅读量1.2k 收藏 2
点赞数
分类专栏: Java安全 文章标签: java spring web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43263451/article/details/126218008
版权

Shiro安全(五):Shiro权限绕过之Shiro-682&CVE-2020-13933

0x00 前言

上一篇文章大概讲述了一下shiro以及spring获取uri的流程,总的来说shiro权限绕过是因为shiro与spring在对同一个请求获取uri时的处理步骤不同导致的,下面讲的两个权限绕过漏洞也是基于该原因

0x01 Shiro-682

利用条件

shiro < 1.5.2

漏洞环境

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-7Day60o6-1659880688266)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220807213249296.png)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-rH291E41-1659880688267)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220807213317969.png)]

漏洞分析

利用的是 shiro 和 spring 对 url 中的 “;” 处理差别来绕过校验。

uri获取逻辑

shiro:具体方法WebUtils#getRequestUri,方法先调用 decodeAndCleanUriString 方法处理请求路径,再调用 normalize 方法标准化路径。当uri中存在封号时,删除掉封号后面所有内容

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-2td21GEz-1659880688267)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220807212211677.png)]

spring:方法是 UrlPathHelper#decodeAndCleanUriString ,方法名也叫 decodeAndCleanUriString,但是呢操作完全不同。对于spring来说,对于封号的处理规则是其会删除掉两个反斜线中封号后面的内容,然后解码然后将//转换为/

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-XTgucxEI-1659880688267)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220807212414665.png)]

所以说当payload为/admin/;/nice来说

在shiro眼里就是:/admin

PS:shiro在geturi后会将最后一个斜线删去,而/admin不匹配/admin/*

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-EsAvpwfh-1659880688268)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220807212944306.png)]

在spring眼里就是:/admin/nice

所以绕过了shiro认证

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-8itYpi9G-1659880688268)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220807213059969.png)]

还有其他payload比如,但是无法在高版本使用,因为在高版本上不处理跨目录

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-2U3I51ZG-1659880688268)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220807213439936.png)]

就只能借助 shiro 一些配置问题尝试绕过:比如应用程序配置了访问路径 “/admin/**” 为 anon,但是指定了其中的一个 “/admin/nice” 为 authc。这时在不跳目录的情况下,可以使用如下请求绕过:

http://127.0.0.1:8080/admin/;/nice

漏洞修复

shiro 不再使用 request.getRequestURI() 来获取用户随意输入的请求路径,而是使用 request.getContextPath()request.getServletPath()request.getPathInfo() 进行拼接,直接获取中间件处理后的内容。

这种获取方式会对uri进行解码,shiro-782就是利用该特性绕过的

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-jBsKXwKx-1659880688269)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220807213733390.png)]

0x02 CVE-2020-13933

利用条件

shiro < 1.6.0

漏洞环境

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-OUUplCfJ-1659880688269)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220807214133634.png)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-mU3VWEMf-1659880688269)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220807214140233.png)]

漏洞分析

在shiro 1.5.3中利用servletPath + pathInfo 的加法思路获取uri

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-A1Cs2j81-1659880688270)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220807214327819.png)]

方法逻辑如下,里面均用request.getxxx,request.getXX 方法,会进行 URL 解码操作。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-nXRoxJ3m-1659880688270)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220807214345866.png)]

uri获取逻辑

Shiro:先 URL 解码,再处理分号,然后标准化路径

Spring:先处理分号,再 URL 解码,然后标准化路径。下面图就是spring获取uri逻辑

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-82cccSMR-1659880688270)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220807212414665.png)]

当payload为/admin/%3baaa时

在shiro眼里uri就是:/admin

在spring眼里uri就是:/admin/;aaa

所以绕过了shiro认证

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-AqmNDWO9-1659880688270)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220807214856977.png)]

漏洞修复

shiro 没有改动现有的处理逻辑,而是选择了使用全局过滤和处理的方式

Shiro 创建了一个 global 的 filter:InvalidRequestFilter,用来过滤和阻断有危害的请求,会返回 400 状态码,其中包括:

  • 带有分号的请求;
  • 带有反斜线的请求;
  • 非 ASCII 字符。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-2mEQVhc8-1659880688271)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220807215230709.png)]

0x03 总结

总的来说就是shiro与spring在对同一个请求获取uri时的处理步骤不同,导致攻击者构造特殊的uri既可以绕过shiro认证且能够访问controller

0x04 参考文章

https://su18.org/post/shiro-3

https://www.yuque.com/tianxiadamutou/zcfd4v/emcdeq

https://blog.csdn.net/weixin_43263451/article/details/126212097

浔阳江头夜送客丶
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Apache Shiro身份验证绕过漏洞(CVE-2020-13933)
07-17
直接使用java -jar srping....war命令运行即可 执行之后,访问http://主机的IP:8888/admin/*或者http://主机的IP:8888/login
CVE-2020-13933 靶场: shiro 认证绕过漏洞.zip
最新发布
01-16
靶场,是指为信息安全人员提供实战演练、渗透测试和攻防对抗等训练环境的虚拟或实体场地。在不同的领域中,靶场扮演着重要的角色,尤其是在网络安全领域,靶场成为培养和提高安全专业人员技能的重要平台。 首先,...
Shiro权限绕过漏洞分析
weixin_50464560的博客
10-13 2284
robots   前言 前段时间遇到通过分号绕过nginx层屏蔽并顺利访问到Springboot项目actuator端点的问题,修复过程中偶然发现当项目使用shiro组件时,若将shiro升级到1.6.0可间接修复分号绕过的问题,当请求url中包含分号时响应状态码为400; 考虑到shiro主要用来执行身份验证授权等,理论上不适合直接阻断存在分号的请求; 为搞明白此问题,决定对shiro权限校验问题进行整理学习,下面为常见的shiro权限绕过漏洞分析修复过程。   Shiro Fi.
Shiro权限绕过漏洞分析(CVE-2020-1957)
mingyqf的博客
01-15 650
2020年3月23号,Shiro开发者Brian Demers在用户社区发表帖子,提醒shiro用户进行安全更新,本次更新进行了三个修复,其中就包括了对编号为CVE-2020-1957的Shrio授权绕过漏洞的修复。漏洞影响shiro 1.5.2版本以下。​。
shiro之自动过虑URL,无需配置。
kingboy190的博客
08-11 5232
这是我的shiro.xml <?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="h
Apache Shiro <= 1.5.1权限绕过分析
m0_49443776的博客
02-27 577
Apache Shiro爆出不少漏洞,之前一直忙着其他事情,没有去跟进分析,这次总算凑出时间来写一篇分析文章。 万变不离其宗,我们就从旧的版本开始分析。 0x01 环境搭建 首先是环境的搭建,我直接放到github上,供大家下载。https://github.com/apwgss/Apache-Shiro-one.git 0x02 初始化分析 搭建好环境后找到ShiroConfig文件,这个是shiro的核心配置类,里面配置了那些路径需要登陆才能访问,如图 这里简单解释一下,authMap里面的key就是
Apache Shiro 权限绕过漏洞 (Shiro-682)复现
whojoe的博客
05-12 3501
Apache Shiro 权限绕过漏洞 (Shiro-682)复现环境搭建下载代码导入idea检查参考文章 环境搭建 下载代码 https://github.com/lenve/javaboy-code-samples/tree/master/shiro/shiro-basic 将上面地址里的tree/master换成trunk,然后用svn co检出 svn co https://github.com/lenve/javaboy-code-samples/trunk/shiro/shiro-basic
CVE-2016-4437 Shiro550 & Shiro721 RememberMe Padding Oracle 漏洞利用
03-29
CVE-2016-4437 Shiro550 & Shiro721 RememberMe Padding Oracle Shiro721 RememberMe Padding Oracle影响版本: - Apache Shiro 1.2.5,1.2.6,1.3.0,1.3.1,1.3.2,1.4.0-RC2,1.4.0,1.4.1 CVE-2016-4437 ...
shiro权限绕过漏洞分析(cve-2020-1957) _ Spoock1
08-03
在使用了shiro的项目中,是我们请求的URL(URL1),进过shiro权限检验(URL2), 最后到springboot项目找到路由来处理(URL3)漏洞的
shiro认证绕过漏洞分析(CVE-2020-13933)1
08-03
1、去 https://start.spring.io/ 使用springboot脚手架搭建一个java8的springboot项目 2、用IDEA打开该项目,
shiro-cve-2020-17523:shiro-cve-2020-17523 漏洞的两种绕过姿势分析 以及配套的漏洞环境
05-23
Apache Shiro 两种姿势绕过认证分析(CVE-2020-17523) 0x01 漏洞描述 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何...
CVE-2020-11989环境
11-20
生命是一条美丽而曲折的幽径,路旁有妍花的丽蝶,累累的美果,但我们很少去停留观赏,或咀嚼它,只一心一意地渴望赶到我们幻想中更加美丽的豁然开朗的大道。然而在前进的程途中,却逐渐树影凄凉,花蝶匿迹,果实无存...
shiro1.7.1.zip
03-25
shiro-1.3.2也可顺利升级至shiro-1.7.1。内含shiro-1.7.1相关依赖包,要求jdk1.8
shiro-core-1.7.0.jar
01-27
近日,shiro被爆出Apache Shiro 身份验证绕过漏洞 (CVE-2020-11989),攻击者可以使用包含payload的恶意请求绕过Shiro的身份认证,漏洞于1.5.3修复。实际上,这个修复并不完全,由于shiro在处理url时与spring仍然存在...
Attacking_Shiro_with_CVE_2020_2555
03-25
Attacking_Shiro_with_CVE_2020_2555前段时间项目上遇到了一个部署在Weblogic上的存在Shiro反序列化裂缝的Web应用,于是Y4er Y4er师傅的文章的文章调了下payload ,很遗憾当时并没有成功(可能是目标Weblogic打了...
shiro历史漏洞分析—CVE-2020-11989/CVE-2020-13933
include_voidmain的博客
09-26 1515
shiro历史漏洞分析—CVE-2020-11989/CVE-2020-13933
shiro权限绕过
qq_54030686的博客
02-21 1588
shiro权限绕过 可以绕过服务端对login页面的验证,从而直接访问后台页面,达到绕过验证的目的,可以理解为绕过验证 一共分为两个cve,分别是CVE-2020-11989,CVE-2020-1957 以http://vulfocus.io,以及vulhub中三个靶场为例 vulfocus CVE-2020-11989 payload为/;/hello 即可查看到hello页面的内容(hello) 但是实际上/hello或者/hello/都能显示出hello这个内容 cve_2016_4437 pay
Shiro配置跳过权限验证
m0_67393295的博客
08-30 2100
跳过权限验证的原理就是重写**@RequiresPermissions**的实现,然后在配置文件中写一个开关,最后通过Aop注入进去就大功告成.首先在spring的配置中加入 spring.profiles.active ,同时配置 xfs.shiro.skipShiro为true.因为在开发环境,测试环境,有时候需要跳过shiro权限验证.所以想写个简单的配置跳过shiro权限验证.既然找到了实现的方法,那么注入一个自己实现类就可以跳过shiro权限了.覆写的类.我准备将它替换成log日志....
shiro设置url过滤配置详解
m0_67390788的博客
08-24 677
perms(权限): /admins/user/**=perms[user:add:*],参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,例如/admins/user/**=perms[“user:add:*,user:modify:*”],当有多个参数时必须每个参数都通过才通过,想当于isPermitedAll()方法。ssl:例子/admins/user/**=ssl没有参数,表示安全的url请求,协议为https。版权声明:本文为博主原创文章,转载请附上博文链接!
spring boot 解决Apache Shiro身份认证绕过漏洞(CVE-2023-22602)
06-02
对于Spring Boot项目中的Apache Shiro身份认证绕过漏洞(CVE-2023-22602),可以通过以下步骤进行解决: 1.升级Apache Shiro到1.7.1或更高版本。可以在项目的Maven或Gradle依赖中更新Apache Shiro的版本。 2.检查应用程序的Shiro配置文件,确保已正确配置了身份认证。例如,应该使用密码哈希来存储用户的密码,并使用适当的加密算法来保护密码。 3.禁用Shiro的RememberMe功能,以防止身份验证绕过攻击。可以在Shiro配置文件中添加以下配置: ``` securityManager.rememberMeManager.cookie.enabled = false ``` 这将禁用RememberMe cookie。 4.限制登录尝试次数,以防止暴力攻击。可以使用Spring Security等其他安全框架来实现此功能。 这些措施可以有效地防止Apache Shiro身份认证绕过漏洞(CVE-2023-22602)。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值