IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> PHP知识库 -> Apache Shiro漏洞复现 -> 正文阅读

[PHP知识库]Apache Shiro漏洞复现

Apache Shiro 认证绕过漏洞 CVE-2020-1957

1. 漏洞描述

Apache Shiro 1.5.2之前版本中存在安全漏洞。攻击者可借助特制的请求利用该漏洞绕过身份验证。
Shiro框架通过拦截器功能来对用户访问权限进行控制,如anon, authc等拦截器。anon为匿名拦截器,不需要登录即可访问;authc为登录拦截器,需要登录才可以访问。可以通过构造恶意的URL进行越权实现未授权访问。

2.环境搭建

之前已经搭建过vulhub环境,直接进入vulhub/shiro/CVE-2020-1957目录下,执行如下命令启动环境。

docker-compose up -d


如图环境启动成功,访问查看页面
在这里插入图片描述
说明

该环境对url的配置如下

@Bean
public ShiroFilterChainDefinition shiroFilterChainDefinition() {
    DefaultShiroFilterChainDefinition chainDefinition = new DefaultShiroFilterChainDefinition();
    chainDefinition.addPathDefinition("/login.html", "authc"); // need to accept POSTs from the login form
    chainDefinition.addPathDefinition("/logout", "logout");
    chainDefinition.addPathDefinition("/admin/**", "authc");
    return chainDefinition;
}

Shiro的URL路径表达式为Ant 格式,路径通配符支持 ? * ** 。
?:匹配一个字符
*:匹配零个或多个字符串
**:匹配路径中的零个或多个路径

而shiro对访问的处理过程为:先获取的url,然后会判断分号是否存在,如果存在就会把后面的删除,进入shiro匹配,匹配不上默认放行,之后Spring web对路径进行规范化从而可以绕过登录访问资源

3.漏洞复现

请求admin然后使用brup进行抓包拦截在这里插入图片描述
发现跳转到了登陆页面,然后构造url访问admin
在这里插入图片描述
成功访问到管理页面

shiro对访问的处理过程分解开为
1)客户端请求URL: /html;/…/admin/
2)Shrio 内部处理得到校验URL为 /html;校验通过
3)SpringBoot 处理 /html;/…/admin/ , 最终请求 /admin/, 成功访问了后台请求。

漏洞POC:构造恶意请求/html;/…/admin/,即可绕过权限校验,访问到管理页面。

说明

Shiro的URL路径表达式为Ant格式,路径通配符是*
可以匹配/admin,但是匹配不到/admin/,因为*通配符无法匹配路径。假设/admin接口设置了authc拦截器,访问/admin会进行权限判断,但如果访问的是/admin/,那么将无法正确匹配URL,直接放行,进入到spring拦截器。

补充

而Shiro1.4.2版本绕过权限直接在访问接口时在后面添加/绕过authc拦截器拦截获取资源。如访问/hello/1被拦截跳转到登录界面,添加/,访问/hello/1/就可以绕过登录。

  PHP知识库 最新文章
Laravel 下实现 Google 2fa 验证
UUCTF WP
DASCTF10月 web
XAMPP任意命令执行提升权限漏洞(CVE-2020-
[GYCTF2020]Easyphp
iwebsec靶场 代码执行关卡通关笔记
多个线程同步执行,多个线程依次执行,多个
php 没事记录下常用方法 (TP5.1)
php之jwt
2021-09-18
上一篇文章      下一篇文章      查看所有文章
加:2021-09-12 12:57:52  更:2021-09-12 12:59:18 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 -2024/12/29 18:44:06-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码
数据统计