身份验证绕过漏洞(CVE-2023-20860)

已于 2023-10-13 17:42:50 修改
阅读量1.3k 收藏 1
点赞数 2
分类专栏: Web漏洞 文章标签: 网络
于 2023-10-13 17:28:00 首次发布

目录

0x01 漏洞描述

1.1 影响版本

0x02 原理分析

2.1 MvcRequestMatcher

2.2 PathPattern

2.3 绕过分析

0x03 漏洞复现

0x04 其他

0x05 修复方式

Spring官方发布了Spring Framework 身份认证绕过漏洞(CVE-2023-20860),当Spring Security使用mvcRequestMatcher配置并将**作为匹配模式时,在Spring Security 和 Spring MVC 之间会发生模式不匹配,最终可能导致身份认证绕过。

0x01 漏洞描述

Spring官方发布了Spring Framework 身份认证绕过漏洞(CVE-2023-20860),当Spring Security使用mvcRequestMatcher配置并将**作为匹配模式时,在Spring Security 和 Spring MVC 之间会发生模式不匹配,最终可能导致身份认证绕过。

1.1 影响版本

  • Spring Framework 6.0.x <= 6.0.6
  • Spring Framework 5.3.x <= 5.3.25

(其他低于5.3.x的系列版本不受此漏洞影响)

0x02 原理分析

2.1 MvcRequestMatcher

根据漏洞描述,主要是mvcRequestMatcher的问题。参考Spring MVC Integration :: Spring Security

发现mvcRequestMatcher主要使用Spring MVC的HandlerMappingIntrospector来匹配路径并提取变量。相比AntPathRequestMatcher会更严谨。例如mvcMatchers("/index") ,除了匹配/index,对于/index/, /index.html, /index.do也会匹配。避免了AntPathRequestMatcher的绕过一些问题。

在查看mvcRequestMatcher首先简单描述下两个概念:

  • Pattern:

    httpSecurity.authorizeRequests().mvcMatchers("admin/**").authenticated();

    这里的/admin/**就是Pattern。

  • Path:实际请求的路径

以spring-webmvc-5.3.20版本为例,查看具体实现,主要是在org.springframework.security.web.servlet.util.matcher.MvcRequestMatcher#matches方法进行匹配:

image.png

首先会在notMatchMethodOrServletPath方法对请求方法以及servletPath进行简单的比对:

image.png

然后调用getMapping方法对当前请求进行处理(实际调用的是HandlerMappingIntrospector的getMatchableHandlerMapping方法):

image.png

image.png

主要是寻找能处理指定请求的HandlerMapping,继续往下跟进会发现实际调用的是org.springframework.web.servlet.handler.AbstractHandlerMethodMapping#getHandlerInternal方法,然后调用lookupHandlerMethod方法,首先直接根据路径获取对应的Mapping,获取不到的话调用addMatchingMappings遍历所有的ReuqestMappingInfo对象并进行匹配,实际上就是spring web解析的逻辑:

image.png

获取到mapping后调用对应的match方法,跟pattern进行匹配,然后将匹配的结果封装在RequestMatchResult中返回:

image.png

继续跟进具体的match方法:

image.png

实际上调用的是org.springframework.web.servlet.handler.PathPatternMatchableHandlerMapping#match方法:

image.png

继续调用的PathPattern(根据影响的版本可以确定对应的Spring使用的是PathPattern进行解析)的matches方法将pattern跟path进行匹配:

image.png

而PathPattern首先会根据/将URL拆分成多个PathElement对象,以/admin/index/为例,这里会分割成多个对象,然后根据PathPattern的链式节点中对应的PathElement的matches方法逐个进行匹配。
简单地分析了mvcRequestMatcher以后,看看PathPattern的工作原理。

2.2 PathPattern

2.6以及之后的Spring会使用PathPatternsRequestCondition通过PathPattern来进行URL匹配。

主要在org.springframework.web.util.pattern.PathPattern#matches方法:

image.png

首先会根据/将URL拆分成多个PathElement对象,以/admin/index/为例,这里会分割成多个对象,然后根据PathPattern的链式节点中对应的PathElement的matches方法逐个进行匹配:

image.png

例如Pattern为/admin/*的话,首先第一个元素是分隔符/,会调用SeparatorPathElement的matches方法进行处理:

image.png

处理完后pathIndex++,继续遍历下一个元素进行处理,下一个是admin,会通过LiteralPathElement#matches进行处理,同样的最后会对pathindex进行+1,然后继续遍历PathElement元素直到遍历结束为止:

image.png

在最后会根据matchOptionalTrailingSeparator(此参数为true时,默认为true)进行一定的处理,如果Pattern尾部没有斜杠,请求路径有尾部斜杠也能成功匹配(类似TrailingSlashMatch的作用):

image.png

image.png

所以这里/admin/index和/admin/index/都是可以访问到对应的路由的。

除此之外,根据不同Pattern的写法,还有很多PathElement:

  • WildcardPathElement(/api/*)
  • SingleCharWildcardedPathElement(/api/?)
  • WildcardTheRestPathElement(/api/**)
  • CaptureVariablePathElement(/api/{param})
  • CaptureTheRestPathElement(/api/{*param})
  • LiteralPathElement(/api/index)
  • RegexPathElement(/api/.*)

2.3 绕过分析

根据前面的分析,因为mvcRequestMatcher主要使用Spring MVC的HandlerMappingIntrospector来匹配路径并提取变量。猜测大致的问题也应该出现在这里。对比修复前后版本的HandlerMappingIntrospector代码:

这里的返回值从PathSettingHandlerMapping变成了LookupPathMatchableHandlerMapping:

image.png

image.png

结合前面的分析可知,修改的其实是在调用PathPattern的match方法前的处理。对比下代码可以发现,在调用PathPattern的match方法之前多了一个步骤,首先判断pattern是否以/开头,如果不是的话进行补全

  • spring-webmvc-5.3.26

image.png

  • spring-webmvc-6.0.7

image.png

根据前面的分析,做以下猜想,在Spring Controller中,以下两个路由访问是等价的:

@GetMapping("/admin/*")
@GetMapping("admin/*")

当Spring Security使用mvcRequestMatcher模式进行权限控制时,如果对应的配置没有以/开头,根据前面的分析,猜测会因为解析差异导致绕过的问题。

例如如下配置,admin目录下的路由会经过认证处理,非认证通过的会返回403:

@Override
protected void configure(HttpSecurity httpSecurity) throws Exception{
       httpSecurity.authorizeRequests().mvcMatchers("admin/**").authenticated();
}

Controller:

@GetMapping("/admin/index")
public String Manage(){
    return "manage";
}

根据前面对PathPattern的matches的分析,这里会根据PathPattern的链式节点中对应的PathElement的matches方法逐个进行匹配,当pattern为admin/**时,此时第一个Element是admin,对应LiteralPathElement#matches解析:

image.png

此时会获取path的第一个Element(如果访问的path是/admin/index,那么第一个Element是/):

image.png

/明显不是PathSegment的实例,此时匹配失败会返回false,但是Spring Controller却能正常解析,那么便导致了绕过问题。

0x03 漏洞复现

根据前面的猜想,同样的是前面的case,当对应的配置没有以/开头,会因为解析差异导致绕过的问题,可以看到成功绕过了设置的Spring security规则,访问了/admin/index:

image.png

这里再做一个对比,将spring-webmvc切换到5.3.9版本,此时上述的case是无法绕过的:

image.png

0x04 其他

在Spring生态中,除了PathPattern以外,还有一种解析模式是AntPathMatcher。

同样的根据之前的分析,其实主要是PathPattern的解析方式问题,这里再做一个假设,同样是存在缺陷的版本spring-webmvc-5.3.20版本,此时通过properties配置切换匹配模式为AntPathMatcher:

spring.mvc.pathmatch.matching-strategy = ant_path_matcher

此时发现没办法绕过了:

image.png

简单说下原因,主要是AntPathMatcher的实现,其大概方式是将需要匹配的path和Pattern分割成string数组,分别是pathDirs和pattDirs两个数组,然后从左到右开始匹配,主要是一些正则的转换还有通配符的匹配。例如/admin/*的*实际上是正则表达式.*,然后通过java.util.regex.compile#matcher进行匹配,这里进行分割时不会将/作为内容引入分析,从调试信息也可以看到,在此之前也将/进行了补全:

图片.png

/进行了补全的操作主要是在RequestMappingHandlerMapping#match方法中进行的:

图片.png

这里实际上调用的是RequestMappingInfo#build方法:

图片.png

这里对Pattern进行了重新处理,在调用PatternsRequestCondition的构造方法的时候,调用了initPatterns方法:

图片.png

如果Pattern不是以/开头会进行补全:

图片.png

0x05 修复方式

目前官方已有可更新版本,建议升级至:

  • Spring Framework 6.0.x >= 6.0.7
  • Spring Framework 5.3.x >= 5.3.26

同样是上面的case,将spring-webmvc版本升级到5.3.26后,上述case已无法绕过:

<dependency>
    <groupId>org.springframework</groupId>
    <artifactId>spring-webmvc</artifactId>
    <version>5.3.26</version>
</dependency>

image.png

关注我学更多的黑客知识 

 

渗透测试老鸟-九青
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Apache Shiro身份验证绕过漏洞(CVE-2020-13933)
07-17
直接使用java -jar srping....war命令运行即可 执行之后,访问http://主机的IP:8888/admin/*或者http://主机的IP:8888/login
Spring Security 安全绕过漏洞CVE-2023-20860
sandfeng的博客
03-22 1465
在 Spring Security 配置中使用 “**” 作为匹配模式,配合 mvcRequestMatcher,会导致 Spring Security 和 Spring MVC 之间的模式匹配不匹配,并可能导致安全绕过漏洞。5.3.0 至 5.3.25。6.0.0 至 6.0.6。
Spring Security通配符路由绕过漏洞CVE-2023-20860
murphysec的博客
03-23 4929
Spring Security 是一套为基于Spring的应用程序提供说明性安全保护的安全框架。 在受影响版本中,当Spring Security使用mvcRequestMatcher配置了**作为前缀的pattern时,其与Spring MVC的匹配逻辑存在差异,可能导致鉴权绕过
CVE-2024-27198 JetBrains TeamCity 身份验证绕过漏洞分析
shelter1234567的博客
03-07 1536
JetBrains TeamCity 是一款由 JetBrains 公司开发的持续集成和持续交付服务器。它提供了强大的功能和工具,旨在帮助开发团队构建、测试和部署他们的软件项目JetBrains TeamCity发布新版本修复了两个高危漏洞JetBrains TeamCity 身份验证绕过漏洞(CVE-2024-27198)与JetBrains TeamCity 路径遍历漏洞(CVE-2024-27199)。
CVE-2023-20860 将组件 org.springframework:spring-webmvc 升级至 5.3.26 及以上版本
tabvla的博客
09-14 1899
若依框架,将组件 org.springframework:spring-webmvc 升级至 5.3.26 及以上版本,CVE-2023-20860
Spring Security身份认证绕过漏洞风险通告
Trouvailless的博客
05-25 3723
近日,奇安信CERT监测到Spring Security 身份认证绕过漏洞 (CVE-2022-22978) 细节及PoC公开。当Spring Security中使用RegexRequestMatcher进行权限配置,且规则中使用带点号的正则表达式时,未经授权的远程攻击者可通过构造恶意数据包绕过身份认证,导致配置的权限验证失效。目前,奇安信CERT已复现此漏洞,同时鉴于已有细节及PoC公开,建议客户尽快做好自查,及时更新至最新版本。 漏洞名称 Spring Security.
漏洞预警|Spring Security 绕过授权漏洞
LJQClqjc的博客
11-01 738
近日网上有关于开源项目Spring Security 绕过授权漏洞,棱镜七彩威胁情报团队第一时间探测到,经分析研判,向全社会发起开源漏洞预警公告,提醒相关安全团队及时响应。
Xsafe#PeiQi-WIKI-POC#Zyxel NBG2105 身份验证绕过 CVE-2021-32972
07-25
Zyxel NBG2105 身份验证绕过 CVE-2021-3297漏洞描述Zyxel NBG2105 存在身份验证绕过,攻击者通过更改 login参数可用实现
一种快速扫描Microsoft Exchange Server上漏洞的快速工具,它使攻击者可以绕过身份验证并冒充管理员(CVE-2021-26855)。-Golang开发
05-26
使攻击者可以绕过身份验证和imperson代理proxylogscan此工具可以大规模扫描Microsoft Exchange Server上的一个漏洞,它允许攻击者绕过身份验证并以管理员身份进行伪装(CVE- 2021-26855)。 通过将此漏洞与另一个...
CVE-2018-10933:使用CVE-2018-10933(LibSSH)无需任何凭据即可生成shell
03-02
libSSH身份验证-绕过使用CVE-2018-10933无需任何凭据即可生成shell 漏洞数据库: : libSSH有关CVE-2018-10933的信息: ://www.libssh.org/security/advisories/CVE-2018-10933.txt libSSH发行的Bugfix: ://...
Spring Security 的身份验证绕过漏洞CVE-2023-34035
日拱一卒无有尽,功不唐捐终入海
09-15 946
背景:公司收到关于 Spring Security 的一个身份验证绕过漏洞的通知,该漏洞被标识为 CVE-2023-34035CVE-2023-34034:WebFlux使用未加前缀的双通配符模式绕过安全性Spring 建议采取以下两步缓解措施:步骤 1:升级到最新版本的 Spring Security(6.1.2 / 6.0.5 / 5.8.5)。链接:https://spring.io/projects/spring-security请按照此错误消息进行操作。
Spring Security存在认证绕过漏洞 CVE-2021-22096
日拱一卒无有尽,功不唐捐终入海
08-29 889
背景:项目被扫到Spring Boot 的漏洞,严格的说应该是Spring Security 组件的漏洞,安全部门要求快速修复,查阅了一些资料,整理以下。CVE-2021-22096是一个针对Spring Security的安全漏洞。Spring Security是一个在Java应用程序中提供安全服务的框架,它提供了一整套的安全性功能,包括认证和授权等。
CVE-2022-22978】Spring-security认证绕过漏洞
Dawn3AM
10-07 719
当Spring-security使用 RegexRequestMatcher 进行权限配置,由于RegexRequestMatcher正则表达式配置权限的特性,正则表达式中包含“.”时,未经身份验证攻击者可以通过构造恶意数据包绕过身份认证。程序在处理该路径的访问请求时,会利用正则规则匹配该路径是否为管理员路径,如果是则对其进行身份校验,校验通过后,返回管理端数据,但是如果正则规则未匹配到该路径,则直接绕过身份校验模块。,经过WEB服务器转码成换行符。HTTP请求中url中的。,即可绕过访问权限检测。
CVE-2022-22978 Spring Security身份验证绕过漏洞复现及与poc利用
zwy15288408160的博客
07-21 1154
Spring Security 5.5.7之前、5.6.4 之前版本存在身份认证绕过漏洞,该漏洞源于RegexRequestMatcher的正则匹配无法识别换行符与回车符,使用%0a,%0d进行绕过。(CVE-2022-22978)
Spring Security注销后未正确保存空的SecurityContext漏洞CVE-2023-20862
日拱一卒无有尽,功不唐捐终入海
08-30 1844
背景:公司项目扫描到 Spring-security 组件 注销后未正确保存空的SecurityContext CVE-2023-20862Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它是保护基于Spring的应用程序的实际标准。Spring Security提供了一套完整的安全性解决方案,是构建安全性强的企业级应用程序的理想选择。
[春秋云镜] CVE-2022-28060 详细讲解
weixin_60374959的博客
11-28 2628
Victor CMS v1.0 /includes/login.php 存在sql注入。
【无标题】思科交换路由中路由引入实验指南
最新发布
m0_74259494的博客
05-20 385
路由引入是网络设计中的一个重要概念,它允许不同路由协议之间的路由信息交换。在思科网络设备中,路由引入可以增强网络的连通性和效率。本文将介绍路由引入的基本概念,并通过一个实验来演示如何在思科路由器中实现路由引入。通过本次实验,我们学习了路由引入的概念,并在思科路由器上成功实现了RIP和OSPF协议之间的路由引入。2. **路由汇总**:将多个路由汇总为一个更广泛的路由,以减少路由表的大小并优化路由信息的传播。1. **重分布**:将一种路由协议的路由信息引入到另一种路由协议中。### 步骤4:路由引入配置。
Spring Framework 身份认证绕过漏洞(CVE-2023-20860)
05-30
这是一个非常严重的漏洞,它允许攻击者在不知道凭据的情况下通过身份验证。攻击者可以通过发送经过精心构造的请求来实现此目的,这些请求可以绕过验证过程并允许未经授权的访问。该漏洞影响 Spring Framework 4.0.0 至 4.3.15、5.0.0 至 5.3.4 和 6.0.0 M1。建议尽快升级到已发布的修复版本,以避免受到攻击。同时,您还可以采取其他措施,如限制访问、加强身份验证等,以保护您的系统安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值