Apache ShenYu Admin JWT认证绕过漏洞(CVE-2021-37580)

最新推荐文章于 2023-12-21 15:25:05 发布
最新推荐文章于 2023-12-21 15:25:05 发布
阅读量463 收藏
点赞数 1
分类专栏: 漏洞复现 文章标签: apache java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44047654/article/details/128639055
版权

Apache ShenYu Admin JWT认证绕过漏洞(CVE-2021-37580)

0x01 漏洞简介

Apache ShenYu(原名 Soul)是一个异步的、跨语言的、多协议的高性能响应式API 网关,并可应用于所有微服务场景。
2021 年 11 月 16日,Apache发布安全公告,公开了Apache ShenYu中的一个身份验证绕过漏洞(CVE-2021-37580),该漏洞的CVSS评分为9.8。由于ShenyuAdminBootstrap中JWT的错误使用,导致攻击者可以绕过身份验证,直接进入目标系统后台。

0x02 影响版本

2.3.0 <= Apache ShenYu <= 2.4.0

0x03 环境搭建

docker下载运行环境:docker run -d -P vulfocus/apache_shenyu-ce_2021_37580

0x04 漏洞分析

下载2.4.0源码:https://github.com/apache/shenyu/archive/refs/tags/v2.4.0.zip

使用开发工具启动 org.apache.shenyu.admin.ShenyuAdminBootstrap,访问 http://localhost:9095 , 默认用户名和密码分别为: admin123456

漏洞为JWT认证问题,当HTTP请求中包含X-Access-Token时,调用StatelessAuthFilter进行token校验,认证的框架是Apache Shiro。

private static final String HEAD_TOKEN = "X-Access-Token";

@Override
protected boolean onAccessDenied(final ServletRequest servletRequest, final ServletResponse servletResponse)
        throws Exception {
    HttpServletRequest httpServletRequest = (HttpServletRequest) servletRequest;
    if (StringUtils.equals(HttpMethod.OPTIONS.name(), httpServletRequest.getMethod())) {
        return true;
    }

    String tokenValue = httpServletRequest.getHeader(HEAD_TOKEN);
    if (StringUtils.isBlank(tokenValue)) {
        log.error("token is null.");
        unionFailResponse(servletResponse);
        return false;
    }

    StatelessToken token = new StatelessToken(tokenValue);

    Subject subject = getSubject(servletRequest, servletResponse);
	//import org.apache.shiro.subject.Subject;
    try {
        subject.login(token);
    } catch (Exception e) {
        log.error("token is warning. token : {}.", tokenValue, e);
        unionFailResponse(servletResponse);
        return false;
    }

    return true;
}

那么直接找到shiro的验证逻辑进行断点即可跟进整个认证登录流程。在shenyu-admin/src/main/java/org/apache/shenyu/admin/shiro/config/ShiroRealm.java中 可以看到两个doGetAuthorizationInfo方法,其中doGetAuthorizationInfo(final PrincipalCollection principalCollection)是用来鉴权使用的,我们先跳过,主要是下面的doGetAuthenticationInfo(final AuthenticationToken authenticationToken),这个方法是用来进行认证的。

 @Override
    protected AuthorizationInfo doGetAuthorizationInfo(final PrincipalCollection principalCollection) {
        UserInfo userInfo = (UserInfo) principalCollection.getPrimaryPrincipal();
        Set<String> permissions = permissionService.getAuthPermByUserName(userInfo.getUserName());
        if (CollectionUtils.isEmpty(permissions)) {
            return null;
        }
        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        simpleAuthorizationInfo.setStringPermissions(permissions);

        return simpleAuthorizationInfo;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(final AuthenticationToken authenticationToken) {
        String token = (String) authenticationToken.getCredentials();
        if (StringUtils.isEmpty(token)) {
            return null;
        }

        UserInfo userInfo = getUserInfoByToken(token);

        return new SimpleAuthenticationInfo(userInfo, token, this.getName());
    }

在这里插入图片描述

我们可以看到整个认证的代码很简单,首先获取到token,然后判断token是否为空,不为空的话接着调用getUserInfoByToken方法获取用户信息实体,然后返回一个SimpleAuthenticationInfo信息,整个逻辑结束,那么用户能不能登录,核心点就是在getUserInfoByToken方法中。

/**
     * check token valid.
     *
     * @param token user token
     * @return userInfo {@link UserInfo}
     */
    private UserInfo getUserInfoByToken(final String token) {

        String userName = JwtUtils.getIssuer(token);
        if (StringUtils.isEmpty(userName)) {
            throw new AuthenticationException("userName is null");
        }

        DashboardUserVO dashboardUserVO = dashboardUserService.findByUserName(userName);
        if (dashboardUserVO == null) {
            throw new AuthenticationException(String.format("userName(%s) can not be found.", userName));
        }

        return UserInfo.builder()
                .userName(userName)
                .userId(dashboardUserVO.getId())
                .build();
    }

上面的代码逻辑也很简单,就是根据token获取用户名,然后用户名不为空的话就从数据库中查找该用户名相对应的用户实体信息,找到后就返回一个UserInfo对象。

接着我们看JwtUtils.getIssuer这个方法,可以看到就是简单的decode了下token,然后从里面获取userName相关的信息并且返回。看到这里其实已经发现问题了,在目前看到的逻辑中,没有对token是否有效进行校验。

 /**
     * according to token to get issuer.
     *
     * @param token token
     * @return Issuer {@link String}
     */
    public static String getIssuer(final String token) {
        DecodedJWT jwt = JWT.decode(token);
        return Optional.ofNullable(jwt).map(item -> item.getClaim("userName").asString()).orElse("");
    }

0x05 漏洞复现

访问环境9095所映射出的端口,就是网站的登录入口

在这里插入图片描述

首先使用默认初始账号密码 admin/123456 登录进入后台

在System Manager->User 新建一个用户,角色为 default
在这里插入图片描述

使用新建的账号进行登录

此时登录界面会提示用户角色为配置权限错误,无法进入后台

在这里插入图片描述

抓包发现该账号的登录包已经生成了 jwt token

在这里插入图片描述

接下来用上述不具备任何权限的账号的 jwt token 去访问管理员才能访问的接口

http://192.168.237.129:49153/dashboardUser?currentPage=1&pageSize=12

发现访问成功,获取到了所有的账号信息,漏洞复现成功

接下来用上述不具备任何权限的账号的 jwt token 去访问管理员才能访问的接口

http://192.168.237.129:49153/dashboardUser?currentPage=1&pageSize=12

发现访问成功,获取到了所有的账号信息,漏洞复现成功

在这里插入图片描述

吉吉_大王
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JSON Web Token JWT几种简单的绕过方法_jwt绕过(1),2024年最新6年菜鸟开发面试字节跳动网络安全研发岗
2301_79772893的博客
04-09 323
header承载两部分信息typ:声明自己是jwt的类型alg:声明使用的加密算法在上图中,alg标注的为HS256,即HMAC-SHA256这之后将头部进行base64加密,就构成了第一部分。
Apache ShenYu管理系统登录认证绕过漏洞分析(CVE-2021-37580)
Moyun_vackbot的博客
03-03 2984
导语 Apache ShenYu 是一个异步的,高性能的,跨语言的,响应式的 API 网关。近期VLab监测到其历史版本(2.3.0-2.4.0)中存在登录认证绕过的风险,CVE编号为CVE-2021-37580 本文仅限于对漏洞点进行研究讨论,禁止任何人用于非法途径,所产生的任何非法攻击都与本作者无关,本文会对具体PoC部分进行阉割.请严格遵守《网络安全法》 环境搭建 先从官方仓库克隆一份最新代码到本地,然后切换到相关tag,方便分析漏洞。 git clone https://github
Apache ShenYu身份验证绕过漏洞CVE-2021-37580
weixin_42345596的博客
11-22 4013
漏洞原理 近日,Apache ShenYu Admin爆出身份验证绕过漏洞,攻击者可通过该漏洞绕过JSON Web Token (JWT)安全认证,直接进入系统后台。 2021年 11 月 16日,Apache发布安全公告,公开了Apache ShenYu中的一个身份验证绕过漏洞CVE-2021-37580),该漏洞的CVSS评分为9.8。由于ShenyuAdminBootstrap中JWT的错误使用,导致攻击者可以绕过身份验证,直接进入目标系统后台。 影响版本 Apache ShenYu 2.3.0 A
Apache ShenYu JWT认证缺陷绕过漏洞 (CVE-2021-37580)
Adminxe的博客
12-29 2880
0x00 漏洞详情 Apache ShenYu(原名 Soul)是一个异步的、跨语言的、多协议的高性能响应式API 网关,并可应用于所有微服务场景。 2021 年 11 月 16日,Apache发布安全公告,公开了Apache ShenYu中的一个身份验证绕过漏洞CVE-2021-37580),该漏洞的CVSS评分为9.8。由于ShenyuAdminBootstrap中JWT的错误使用,导致攻击者可以绕过身份验证,直接进入目标系统后台。 0x01 影响范围 Apache ShenYu 2.3.0..
Apache ShenYu JWT认证缺陷漏洞(CVE-2021-37580)
weixin_50464560的博客
12-15 527
漏洞说明Apache ShenYu 是应用于所有微服务场景的,可扩展、高性能、响应式的 API 网关解决方案。Apache ShenYu Admin 存在身份验证绕过漏洞Shenyu Admin Bootstrap 中 JWT 的错误使用允许攻击者绕过身份验证,攻击者可通过该漏洞直接进入系统后台。影响版本Apache ShenYu 2.3.0Apache ShenYu 2.4.0漏洞复现Fofa搜索标题:(注意:互联网的非授权利用属于违法行为)body="id=\"httpPath\""&&amp
Apache ShenYu CVE-2021-37580 身份验证绕过漏洞复现
YouthBelief的博客
11-25 1371
所有文章,仅供安全研究与学习之用,后果自负! Apache ShenYu CVE-2021-37580Apache ShenYu CVE-2021-375800x01 漏洞描述0x02 影响范围fofa指纹0x03 漏洞复现0x04 漏洞修复 Apache ShenYu CVE-2021-37580 Apache ShenYu 是应用于所有微服务场景的,可扩展、高性能、响应式的 API 网关解决方案。 该系统默认账号密码为 admin 123456 0x01 漏洞描述 Apache ShenYu Admin
Python库 | Apache-ShenYu-Client-0.1.1.tar.gz
05-12
资源分类:Python库 所属语言:Python 资源全名:Apache-ShenYu-Client-0.1.1.tar.gz 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
incubator-shenyu-dashboard:阿帕奇神宇仪表盘
07-24
神宇仪表盘概述沉宇Dashboard是一个管理背景...startnpm start生产环境 # install dependencies in this project root path.npm install# build for productionnpm run build# copy to shenyu-admincp -rf dist/ * shen
Apache ShenYu网关 v2.6.1.zip
最新发布
03-18
2. shenyu-2.6.1:这是一个解压后的文件夹,包含ShenYu网关的全部源代码和资源。这个目录下的内容一般分为以下几个部分: - src/main/java:这里存放着项目的源代码,包括核心模块如Selector、Rule、Plugin等,以及...
Apache ShenYu
05-04
Proxy: Support for Apache Dubbo, Spring Cloud, gRPC, Motan, SOFA, TARS, WebSocket, MQTT Security: Sign, OAuth 2.0, JSON Web Tokens, WAF plugin API governance: Request, response, parameter mapping, ...
shenyu-master.zip
03-19
在`shenyu-master.zip`这个压缩包中,包含了ShenYu项目的源码和相关配置文件。开发者可以通过解压并导入IDE,如IntelliJ IDEA或Eclipse,来进行代码阅读和二次开发。通常,项目结构会包含以下几个主要部分: - `src...
Apache ShenYu 网关JWT认证绕过漏洞 CVE-2021-37580
qq_42430287的博客
12-21 1235
payload的意思是使用了一个JWT令牌,对其进行Base64解码可得到攻击者尝试的用户为。由于服务端在使用JWT的时候,也没有校验key,导致任意能解码的JWT,并且只要用户(userName的值)存在,都能通过校验。如果攻击成功,在响应头中返回的状态码为200,且在响应体中返回字样。
Apache ShenYu 入门
Maisu的博客
06-24 3209
最近在了解网关相关的东西,发现了shenyu这款异步的、高性能的、跨语言的、响应式的API网关。 花了一两天时间做了一个入门体验,在此记录一下。
Soul网关-day08
qq_21364629的博客
01-22 335
Soul网关-day08 Soul-plugin-sofa测试(三) ​ 接第7天的话题,可以看到token为null以后直接返回errorResponse的类为 StatelessAuthFilter。这个类是框架定义的,那么我们是在哪里将这个Filter集成进我们的shiro框架呢? ​ eclipse和idea中都提供了调用查询的功能,这里可以看到:是在org.dromara.soul.admin.shiro.config.ShiroConfiguration中的 @Bean public
Soul网关-day07
qq_21364629的博客
01-21 332
Soul网关-day07 Soul-plugin-sofa测试(二) ​ 在day05的时候,出现了一个bug,是由于2.2.1的版本没有sofa相关的插件;所以更新到了最新的版本,但最新版本在运行过程中报了一个错误,就是: o.d.s.a.shiro.bean.StatelessAuthFilter : token is null. ​ 可以看到是在StatelessAuthFilter处: public class StatelessAuthFilter extends AccessC
(渗透学习)JWT绕过
yang1234567898的博客
12-30 5505
1、什么是JWT 参考文章:https://www.jianshu.com/p/576dbf44b2ae 2、JWT验证绕过 https://jwt.io/
解决springboot集成shiro登录时出现报错org.apache.shiro.authc.IncorrectCredentialsException
LynneZoe的博客
04-10 3488
1.错误说明 简答来说错误就是:错误的登陆凭证异常 2.错误产生的原因 这里我做的是登陆验证,所以要进行用户名密码的校验,shrio登陆成功的凭证不就是用户名和密码都要正确吗?需要注意的是,在注册时候将明文密码通过自定义的加密方式进行了加密,所以这里验证,也是要将明文密码进行相同的加密再验证,不过shrio都封装好了的 ...
错误: 找不到或无法加载主类 org.apache.shenyu.admin.ShenyuAdminBootstrap
06-09
这个错误通常是因为找不到或加载不了Shenyu Admin Bootstrap应用程序的主类所导致的。可能的原因包括: 1. 没有正确设置CLASSPATH环境变量,或者CLASSPATH环境变量中没有包含必要的类路径。 2. 找不到或加载不了...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值