Apache Shiro
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。
思路
我们在请求url时,shiro会进行第一次检验(这里是校验不允许访问/admin/目录的东西)然后springboot再找到路径由来处理,接下来看思路
- 客户端请求URL: /xxxx/…;/admin/index
- shrio 内部处理得到校验URL为 /xxxx/…,校验通过
- springboot 处理 /xxxx/…;/admin/index , 最终请求 /admin/index, 成功访问了后台请求.
shrio内decodeAndCleanUriString会截断;
后面的请求,所以变成了 /xxxx/..
,而normalize()又对/xxxx/..
进行替换反斜杠的处理,如下
替换 // 为 /
替换 /./ 为 /
替换 /../ 为 /
只要我们通过了shrio,springboot就会进行回响,这样就造成了未授权访问
参考Shiro 权限绕过漏洞分析(CVE-2020-1957)
复现
环境搭建完成后进行抓包。正常情况下
访问admin发生302跳转
访问/xxxx/..;/admin/
,回复200
emmm,既然只要问题出在分号处,那是不是只加一个分号就可以了
测试发现只要是以下这种的都可以成功访问,当然应该还会有其他的,欢迎补充
;/admin/
/;/admin/
/任意/..;/admin/