Apache shiro 权限绕过漏洞汇总

时间：2020-08-24 10:58:52 来源：作者：

声明

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，雷神众测以及文章作者不为此承担任何责任。

No.1

简述

前段时间太忙了，忙到很多东西，只是记录了笔记，没有成文，刚好最近阶段又出来了shiro权限绕过漏洞，因此本文将这三个权限绕过的洞进行对比，他们的编号分别是 CVE-2020-1957、CVE-2020-11989、CVE-2020-13933 。

No.2

漏洞细节

1、CVE-2020-1957

原理

首先在 admin 位置下断点，可以看到，我们网络请求，是先经过shiro 处理之后，再转发到springboot进行路由分发工作。

这里直接定位到 shiro处理url的方法位置：WebUtils# getPathWithinApplication

public static String getPathWithinApplication(HttpServletRequest request) {

String contextPath = getContextPath(request);

String requestUri = getRequestUri(request);

if (StringUtils.startsWithIgnoreCase(requestUri, contextPath)) {

// Normal case: URI contains context path.

String path = requestUri.substring(contextPath.length);

return (StringUtils.hasText(path) ? path : "/");

} else {

// Special case: rather unusual.

return requestUri;

}

实际上继续跟进 getRequestUri(request);这个方法，可以清楚的看到，实际上调用的是getRequestURI 方法来获取路由中的URI 请求。

这里的 URI就是我们传入的/xxx/..;/hello/aaaa，也就是说回到 getRequestUri(request);当中，会带着这个传入的URI进入decodeAndCleanUriString 进行处理。

public static String getRequestUri(HttpServletRequest request) {

String uri = (String) request.getAttribute(INCLUDE_REQUEST_URI_ATTRIBUTE);

if (uri == ) {

uri = request.getRequestURI;

}

return normalize(decodeAndCleanUriString(request, uri));

}

在 decodeAndCleanUriString方法中会根据我们的传入的URI中;进行截断处理，也就是说经过处理之后，返回的结果变成了/xxx/..

而 normalize 方法就会对我们传入的path进行一些处理，从注释上，也能知道这部分代码处理了什么东西:

✦替换\为/

✦替换/./为/

✦替换/../为/

✦...

private static String normalize(String path, boolean replaceBackSlash) {

if (path == )

return ;

// Create a place for the normalized path

String normalized = path;

if (replaceBackSlash && normalized.indexOf('\') >= 0)

normalized = normalized.replace('\', '/');

if (normalized.equals("/."))

return "/";

// Add a leading "/" if necessary

if (!normalized.startsWith("/"))

normalized = "/" + normalized;

// Resolve occurrences of "//" in the normalized path

while (true) {

int index = normalized.indexOf("//");

if (index < 0)

break;

normalized = normalized.substring(0, index) +

normalized.substring(index + 1);

}

// Resolve occurrences of "/./" in the normalized path

while (true) {

int index = normalized.indexOf("/./");

if (index < 0)

break;

normalized = normalized.substring(0, index) +

normalized.substring(index + 2);

}

// Resolve occurrences of "/../" in the normalized path

while (true) {

int index = normalized.indexOf("/../");

if (index < 0)

break;

if (index == 0)

return ; // Trying to go outside our context

int index2 = normalized.lastIndexOf('/', index - 1);

normalized = normalized.substring(0, index2) +

normalized.substring(index + 3);

}

// Return the normalized path that we have completed

return (normalized);

}

而这里经过处理，我们的 URI 依然是/xxx/..，接着就会回到PathMatchingFilterChainResolver# getChain方法，进行权限匹配，我们的路径是/hello/**下需要进行权限认证，由于路径不匹配，所以权限校验自然过了。

这里在提一嘴，可以看看 PathMatchingFilterChainResolver# getChain方法这一小段代码，这一段代码修复的是 Shiro-682 （https://issues.Apache.org/jira/browse/SHIRO-682），具体描述可以点入链接查看。简单翻译一下就是在spring web下，通过请求 /resource/menus和/resource/menus/都是能够访问到资源的，但是shiro的路径正则只会匹配到/resource/menus，忽略了 /resource/menus/ ，所以这就绕过了。

好了，这里提一下这个地方，再回到我们刚刚上面的情况里，由于我们传入的 URI/xxx/..与权限认证的URI/hello/**不匹配，绕过了权限验证之后，进入 springboot当中进行路由分发，而在spring当中UrlPathHelper# getPathWithinServletMapping 这个方法负责处理我们传入的URI：xxx/..;/hello/aaaa，结果是返回servletPath。

public String getPathWithinServletMapping(HttpServletRequest request) {

String pathWithinApp = getPathWithinApplication(request);

String servletPath = getServletPath(request);

String sanitizedPathWithinApp = getSanitizedPath(pathWithinApp);

String path;

// If the app container sanitized the servletPath, check against the sanitized version

if (servletPath.contains(sanitizedPathWithinApp)) {

path = getRemainingPath(sanitizedPathWithinApp, servletPath, false);

}

else {

path = getRemainingPath(pathWithinApp, servletPath, false);

}

...

// Otherwise, use the full servlet path.

return servletPath;

}

看看 servletPath是怎么来的，这玩意的取值是通过request.getServletPath;获取到的，也就是说这里的结果是/hello/aaaa。这里通过springboot进行分发，自然获取到后台接口内容，整个流程：

用户发起请求/xxx/..;/hello/aaaa----->shiro处理之后返回/xxx/..通过校验的----->springboot处理/xxx/..;/hello/aaaa返回/hello/aaaa，最后访问到需要权限校验的资源。

public String getServletPath(HttpServletRequest request) {

String servletPath = (String) request.getAttribute(WebUtils.INCLUDE_SERVLET_PATH_ATTRIBUTE);

if (servletPath == ) {

servletPath = request.getServletPath;

}

if (servletPath.length > 1 && servletPath.endsWith("/") && shouldRemoveTrailingServletPathSlash(request)) {

// On WebSphere, in non-compliant mode, for a "/foo/" case that would be "/foo"

// on all other servlet containers: removing trailing slash, proceeding with

// that remaining slash as final lookup path...

servletPath = servletPath.substring(0, servletPath.length - 1);

}

return servletPath;

}

修复

shiro在1.5.2当中把之前的通过 getRequestURI获取URI的方式变成了getContextPath 、getServletPath 、getPathInfo 的组合。

这么处理之后自然变成了想要的东西。

2、CVE-2020-11989

原理

这里的 shiro拦截器需要变成map.put("/hello/*", "authc");，这里有两种poc，都是可以绕过

/hello/a%25%32%66a

/;/test/hello/aaa

我们知道在shiro中的WebUtils# getPathWithinApplication这里会处理我们传入的url，在 getRequestUri方法会调用decodeAndCleanUriString进行处理。

public static String getRequestUri(HttpServletRequest request) {

String uri = (String) request.getAttribute(INCLUDE_REQUEST_URI_ATTRIBUTE);

if (uri == ) {

uri = valueOrEmpty(request.getContextPath) + "/" +valueOrEmpty(request.getServletPath) +valueOrEmpty(request.getPathInfo);

}

return normalize(decodeAndCleanUriString(request, uri));

}

在 decodeAndCleanUriString当中会调用decodeRequestString针对URI进行一次URL解码。

private static String decodeAndCleanUriString(HttpServletRequest request, String uri) {

uri = decodeRequestString(request, uri);

int semicolonIndex = uri.indexOf(';');

return (semicolonIndex != -1 ? uri.substring(0, semicolonIndex) : uri);

}

public static String decodeRequestString(HttpServletRequest request, String source) {

String enc = determineEncoding(request);

try {

return URLDecoder.decode(source, enc);

} catch (UnsupportedEncodingException ex) {

if (log.isWarnEnabled) {

...

}

return URLDecoder.decode(source);

}

所以这里的poc/hello/a%25%32%66a------>传入到shiro自动解码一次变成//hello/a%2fa------>经过 decodeRequestString 变成//hello/a/a由于这里我们的拦截器是map.put("/hello/*", "authc");，这里需要了解一下shiro的URL是ant格式，路径是支持通配符表示的

?：匹配一个字符

*：匹配零个或多个字符串

**：匹配路径中的零个或多个路径

/*只能命中/hello/aaa这种格式，无法命中/hello/a/a，所以经过 shiro 进行权限判断的时候自然无法命中。

而在spring当中，理解的 servletPath是/hello/a%2fa，所以自然命中@GetMapping("/hello/{name}")这个mapping，又springboot转发到响应的路由当中。

另一种利用方式来自这里《Apache Shiro权限绕过漏洞分析(CVE-2020-11989)》(https://xz.aliyun.com/t/7964)，这里提到了

1.应用不能部署在根目录，也就是需要context-path，server.servlet.context-path=/test，如果为根目录则context-path为空，就会被CVE-2020-1957的patch将URL格式化，值得注意的是若Shiro版本小于1.5.2的话那么该条件就不需要。

这里原因在于需要绕过 getRequestUri当中的格式化uri，当context-path为空的时候，处理结果为//hello/aaaa

public static String getRequestUri(HttpServletRequest request) {

String uri = (String) request.getAttribute(INCLUDE_REQUEST_URI_ATTRIBUTE);

if (uri == ) {

uri = valueOrEmpty(request.getContextPath) + "/" +

valueOrEmpty(request.getServletPath) +

valueOrEmpty(request.getPathInfo);

}

return normalize(decodeAndCleanUriString(request, uri));

}

当 context-path不为空的时候，处理结果为/;/test/hello/aaaa，然后我们知道decodeAndCleanUriString会根据;进行截断，截断之后的结果是/自然无法命中拦截器map.put("/hello/*", "authc");，所以自然就绕过了。

修复

在1.5.3版本，采用标准的 getServletPath和getPathInfo进行uri处理，同时取消了url解码。

public static String getPathWithinApplication(HttpServletRequest request) {

return normalize(removeSemicolon(getServletPath(request) + getPathInfo(request)));

}

3、CVE-2020-13933

原理

/hello/%3baaaa

上面的代码进来之后，通过 getPathWithinApplication处理之后变成了/hello/;aaaa

而 removeSemicolon会根据;进行截断，返回的uri自然是/hello/

private static String removeSemicolon(String uri) {

int semicolonIndex = uri.indexOf(';');

return (semicolonIndex != -1 ? uri.substring(0, semicolonIndex) : uri);

}

这个 uri自然无法命中拦截器map.put("/hello/*", "authc");自然就过了

修复

加了一个 filter类InvalidRequestFilter来针对一些东西进行处理。

private static final List<String> SEMICOLON = Collections.unmodifiableList(Arrays.asList(";", "%3b", "%3B"));

private static final List<String> BACKSLASH = Collections.unmodifiableList(Arrays.asList("\", "%5c", "%5C"));

No.3

小结

总结来看，就是利用 shiro 解析uri 和spring解析uri之间的差异来挖这个洞。

招聘启事

安恒雷神众测SRC运营（实习生）

————————

【职责描述】

1. 负责SRC的微博、微信公众号等线上新媒体的运营工作，保持用户活跃度，提高站点访问量；

2. 负责白帽子提交漏洞的漏洞审核、Rank评级、漏洞修复处理等相关沟通工作，促进审核人员与白帽子之间友好协作沟通；

3. 参与策划、组织和落实针对白帽子的线下活动，如沙龙、发布会、技术交流论坛等；

4. 积极参与雷神众测的品牌推广工作，协助技术人员输出优质的技术文章；

5. 积极参与公司媒体、行业内相关媒体及其他市场资源的工作沟通工作。

【任职要求】

1. 责任心强，性格活泼，具备良好的人际交往能力；

2. 对网络安全感兴趣，对行业有基本了解；

3. 良好的文案写作能力和活动组织协调能力。

简历投递至 strategy@dbappsecurity.com.cn

设计师（实习生）

————————

【职位描述】

负责设计公司日常宣传图片、软文等与设计相关工作，负责产品品牌设计。

【职位要求】

1、从事平面设计相关工作1年以上，熟悉印刷工艺；具有敏锐的观察力及审美能力，及优异的创意设计能力；有 VI 设计、广告设计、画册设计等专长；

2、有良好的美术功底，审美能力和创意，色彩感强；精通 Photoshop/illustrator/coreldrew/等设计制作软件；

3、有品牌传播、产品设计或新媒体视觉工作经历；

【关于岗位的其他信息】

企业名称：杭州安恒信息技术股份有限公司

办公地点：杭州市滨江区安恒大厦19楼

学历要求：本科及以上

工作年限：1年及以上，条件优秀者可放宽

简历投递至 strategy@dbappsecurity.com.cn

安全招聘

————————

公司：安恒信息

岗位：Web安全安全研究员

部门：战略支援部

薪资：13-30K

工作年限：1年+

工作地点：杭州（总部）、广州、成都、上海、北京

工作环境：一座大厦，健身场所，医师，帅哥，美女，高级食堂…

【岗位职责】

1.定期面向部门、全公司技术分享;

2.前沿攻防技术研究、跟踪国内外安全领域的安全动态、漏洞披露并落地沉淀；

3.负责完成部门渗透测试、红蓝对抗业务;

4.负责自动化平台建设

5.负责针对常见WAF产品规则进行测试并落地bypass方案

【岗位要求】

1.至少1年安全领域工作经验；

2.熟悉HTTP协议相关技术

3.拥有大型产品、CMS、厂商漏洞挖掘案例；

4.熟练掌握php、JAVA、asp.net代码审计基础（一种或多种）

5.精通Web Fuzz模糊测试漏洞挖掘技术

6.精通OWASP TOP 10安全漏洞原理并熟悉漏洞利用方法

7.有过独立分析漏洞的经验，熟悉各种Web调试技巧

8.熟悉常见编程语言中的至少一种（Asp.net、Python、php、java）

【加分项】

1.具备良好的英语文档阅读能力；

2.曾参加过技术沙龙担任嘉宾进行技术分享；

3.具有CISSP、CISA、cssLP、ISO27001、ITIL、PMP、COBIT、Security+、CISP、OSCP等安全相关资质者；

4.具有大型SRC漏洞提交经验、获得年度表彰、大型CTF夺得名次者；

5.开发过安全相关的开源项目；

6.具备良好的人际沟通、协调能力、分析和解决问题的能力者优先；

7.个人技术博客；

8.在优质社区投稿过文章；

岗位：安全红队武器自动化工程师

薪资：13-30K

工作年限：2年+

工作地点：杭州（总部）

【岗位职责】

1.负责红蓝对抗中的武器化落地与研究；

2.平台化建设；

3.安全研究落地。

【岗位要求】

1.熟练使用Python、java、c/c++等至少一门语言作为主要开发语言；

2.熟练使用Django、flask 等常用web开发框架、以及熟练使用MySQL、mongoDB、redis等数据存储方案；

3:熟悉域安全以及内网横向渗透、常见web等漏洞原理；

4.对安全技术有浓厚的兴趣及热情，有主观研究和学习的动力；

5.具备正向价值观、良好的团队协作能力和较强的问题解决能力，善于沟通、乐于分享。

【加分项】

1.有高并发tcp服务、分布式等相关经验者优先；

2.在github上有开源安全产品优先；

3:有过安全开发经验、独自分析过相关开源安全工具、以及参与开发过相关后渗透框架等优先；

4.在freebuf、安全客、先知等安全平台分享过相关技术文章优先；

5.具备良好的英语文档阅读能力。

简历投递至 strategy@dbappsecurity.com.cn

岗位：红队武器化Golang开发工程师

薪资：13-30K

工作年限：2年+

工作地点：杭州（总部）

【岗位职责】

1.负责红蓝对抗中的武器化落地与研究；

2.平台化建设；

3.安全研究落地。

【岗位要求】

1.掌握C/C++/Java/Go/Python/JavaScript等至少一门语言作为主要开发语言；

2.熟练使用Gin、Beego、Echo等常用web开发框架、熟悉MySQL、Redis、MongoDB等主流数据库结构的设计,有独立部署调优经验；

3.了解Docker，能进行简单的项目部署；

3.熟悉常见web漏洞原理，并能写出对应的利用工具；

4.熟悉TCP/IP协议的基本运作原理；

5.对安全技术与开发技术有浓厚的兴趣及热情，有主观研究和学习的动力，具备正向价值观、良好的团队协作能力和较强的问题解决能力，善于沟通、乐于分享。

【加分项】

1.有高并发tcp服务、分布式、消息队列等相关经验者优先；

2.在github上有开源安全产品优先；

3:有过安全开发经验、独自分析过相关开源安全工具、以及参与开发过相关后渗透框架等优先；

4.在freebuf、安全客、先知等安全平台分享过相关技术文章优先；

5.具备良好的英语文档阅读能力。

简历投递至 strategy@dbappsecurity.com.cn

Tags：Apache shiro 点击:() 评论:()

声明：本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com)，我们将及时更正、删除，谢谢。

▌相关推荐

Apache shiro 权限绕过漏洞汇总

声明由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，雷神众测以及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释...【详细内容】

2020-08-24　　Tags: Apache shiro 点击:(132)　　评论:(0)　　加入收藏

Apache Shiro反序列化漏洞及修复

写在前面今天收到运维人员的反馈，说程序有漏洞，如下图：哎，不查不知道，一查吓一跳。发现两个问题!!Apache Shiro是一个强大且易用的Java安全框架，被用来执行身份验证、授权、密码...【详细内容】

2020-07-30　　Tags: Apache shiro 点击:(3307)　　评论:(0)　　加入收藏

▌简易百科推荐

最近160 万个 WordPress 网站被黑客攻击，黑客仅通过4个不同插件

在最近的一波攻击中，黑客利用多个插件中未修补的漏洞攻击了 160 万个 WordPress 网站。易受攻击的插件对 WordPress 网站产生了的巨大攻击数据。 Wordfence 最近发现 WordPr...【详细内容】

2021-12-16　　蚁安　　　　Tags:WordPress 　点击:(8)　　评论:(0)　　加入收藏

一起SSH暴力破解

事件起因从安全分析系统里面发现一条带有病毒的下载，然后针对这条记录展开了一系列的分析分析过程1.登录到被感染服务器，查看系统状况，hadoop 这个用户在 2020/6/18 20:32 从这...【详细内容】

2021-11-23　　Z2990Lig　　　　Tags:SSH 　点击:(32)　　评论:(0)　　加入收藏

服务器如何防范入侵

1、除了服务器需要用的一些正规软件，其它都不要安装。2、在用户中把administrator改名,这样做的目的是即使对方暴破了我们的密码用户名也不容易猜住，相当于又加了一道关卡。...【详细内容】

2021-11-01　　IT小哥吧　　　　Tags:服务器　点击:(37)　　评论:(0)　　加入收藏

白帽黑客教你Windows主机操作系统安全加固

账户安全（1）更名administrator本地用户并禁用guest账户步骤：点击“开始”，找到“管理工具”，点击里面的“计算机管理”，找到“本地用户和组” （2）设定账户锁定策略尝试5次失败...【详细内容】

2021-10-12　　Kali与编程　　今日头条　　Tags:Windows主机　点击:(62)　　评论:(0)　　加入收藏

企业服务器安全篇之Windows Server

本文主要介绍以Microsoft的Windows Server 2019 ，版本：Datacenter(Domain Controller)安全加固保护.企业随着规模不断扩大，业务增多，信息安全建设是企业里一条只有重点没有终点...【详细内容】

2021-09-17　　Vireshark　　　　Tags:服务器安全　点击:(64)　　评论:(0)　　加入收藏

Windows系统安全 | IPC$共享和其他共享(C$、D$、Admin$)

目录常见共享命令IPC$IPC$的利用条件1：开启了139、445端口2：目标主机开启了IPC$共享3：IPC连接报错IPC空连接空连接可以做什么?(毫无作用)IPC$非空连接IPC$非空连接可以做什么？di...【详细内容】

2021-09-16　　网络说安全　　　　Tags:系统安全　点击:(86)　　评论:(0)　　加入收藏

服务器如何防止被cc攻击？被cc攻击了怎样处理

昨天一个老哥找到我，说他的服务器这几天一直被CC攻击，问我这边有没有什么解决的方法？近年来，网络攻击事件越来越频繁，最常见的就是CC攻击和DDOS攻击，主要的区别就是针对的对象不...【详细内容】

2021-09-10　　小蚁GDRAGON　　　　Tags:cc攻击　点击:(58)　　评论:(0)　　加入收藏

黑科技展示，一种无法被暴力破解的登录方式

网站页面上的登录操作，通常都是输入帐号密码，传输至网站后台验证。在网站页面、数据传输中，通过技术手段，都可以得到用户输入的信息，并可以修改，从而发起网络攻击。典型的如：使用自...【详细内容】

2021-08-30　　修丹道的程序猿　　　　Tags:登录方式　点击:(62)　　评论:(0)　　加入收藏

托管 DNS 云服务器中的漏洞让攻击者监视 DNS 流量

网络安全研究人员披露了一类影响主要 DNS 即服务 (DNSaaS) 提供商的新漏洞，这些漏洞可能允许攻击者从企业网络中窃取敏感信息。基础设施安全公司 Wiz 的研究人员 Shir Tamar...【详细内容】

2021-08-12　　零日时代　　　　Tags:漏洞　点击:(66)　　评论:(0)　　加入收藏

登陆框有多危险，可能你还不知道？

001暴力破解1. 指定用户名爆破密码传统型爆破思路，用户名可以通过猜测或者信息收集获得。猜测：admin、网站域名等信息收集：新闻发布人、whoami等2. 指定密码爆破用户名如果是后...【详细内容】

2021-07-23　　KaliMa　　今日头条　　Tags:登陆框　点击:(85)　　评论:(0)　　加入收藏

推荐资讯

远程软件发展迅猛，ToDe	倒计时！企业QQ即将下架
极简Windows11与iPhon	iPhone信号问题，花10元
惊人数据：App Store中4	个人所得税递延纳税报
非常实用的 Python 库	等离子电视技术先进，为

无相关信息