博主介绍

‍ 博主介绍:大家好,我是 _PowerShell ,很高兴认识大家~
✨主攻领域:【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】
点赞➕评论➕收藏 == 养成习惯(一键三连)
欢迎关注一起学习一起讨论⭐️一起进步文末有彩蛋
作者水平有限,欢迎各位大佬指点,相互学习进步!

文章目录

  • 博主介绍
  • 一、漏洞简介
  • 二、漏洞编号
  • 三、影响版本
  • 四、Fofa
  • 五、漏洞检测
  • 六、漏洞原理
  • 七、环境准备
  • 八、漏洞利用
    • 1、访问站点
    • 2、get方式/permit/any不加token
    • 3、get方式/permit/any加token
    • 4、使用 %0a 进行权限绕过
  • 九、修复建议

一、漏洞简介

​ Apache Shiro 是一个强大且易用的 Java 安全框架,通过它可以执行身份验证、授权、密码和会话管理。使用 Shiro 的易用 API,您可以快速、轻松地保护任何应用程序 —— 从最小的移动应用程序到最大的 WEB 和企业应用程序。
2022年6月29日,Apache官方披露Apache Shiro权限绕过漏洞(CVE-2022-32532),当Apache Shiro中使用RegexRequestMatcher进行权限配置,且正则表达式中携带”.”时,未经授权的远程攻击者可通过构造恶意数据包绕过身份认证,导致配置的权限验证失效。

二、漏洞编号

CVE-2022-32532

三、影响版本

Apache Shiro < 1.9.1

四、Fofa

"Apache Shiro"

五、漏洞检测

在config\pom.xml的version标签中查看当前使用的shiro版本号。

六、漏洞原理

在正则表达式中元字符.是匹配除换行符(\n、\r)之外的任何单个字符。
要匹配包括 \n 在内的任何字符,需使用像(.|\n)的模式。
在java中的正则默认情况下.也同样不会包含\n、\r字符,因此在一些场景中,使用正则.的规则就有可能被绕过。
新增Pattern.DOTALL模式后,正则表达式.就可以匹配任何字符包括换行符。
在shiro-core-1.9.0.jar中存在一个RegExPatternMatcher类,提供请求路径匹配功能及拦截器参数解析的功能。pattern存在带.的正则表达式匹配,若source中存在\r或\n字符时,将判断错误。

七、环境准备

我这里使用的是 vulfocus 靶场,大家也可以自行搭建靶场。我就为了省事儿,就用了 vulfocus 复现的

https://vulfocus.cn/

vulfocus 筛选靶场如下,直接搜索需要的靶场环境就可以了,在这里也给大家推荐一下八,可以为需要大量复现漏洞的安全工作者节省大量时间。

这个下面就是平台给出的镜像信息和一些提示信息。我们直接访问他所给的 ip+端口 就可以访问到我们的靶场环境了。

访问所给ip:端口

八、漏洞利用

1、访问站点

直接访问ip:端口,抓包如下

2、get方式/permit/any不加token

把抓到的包放到重发模块,以get方式/permit/any
访问被拒绝

3、get方式/permit/any加token

把抓到的包放到重发模块,以get方式/permit/any,并加token进行身份认证
访问成功

4、使用 %0a 进行权限绕过

把抓到的包放到重发模块,以get方式/permit/a%0any
访问成功

九、修复建议

目前Apache官方已发布此漏洞修复版本,建议用户尽快升级至Apache Shiro 1.9.1及以上版本。

https://github.com/apache/shiro/releases/tag/shiro-root-1.9.1