CVE | 您所在的位置:网站首页 › java 认证绕过 › CVE |
前言 结合自身经历,在使用正则表达式去匹配流量特征时,由于正则表达式中元字符“.”不匹配换行符(\n、\r)导致一直提取不上所需的流量。而如今,之前踩过的坑却出现在了Apache Shiro框架之中...... 漏洞描述6月29日,Apache 官方披露 Apache Shiro 权限绕过漏洞(CVE-2022-32532),当 Apache Shiro 中使用 RegexRequestMatcher 进行权限配置,且正则表达式中携带“.”时,未经授权的远程攻击者可通过构造恶意数据包绕过身份认证。 相关介绍Apache Shiro 是一个功能强大且易于使用的 Java 安全框架,它可以执行身份验证、授权、加密和会话管理,可以用于保护任何应用程序——从命令行应用程序、移动应用程序到最大的 web 和企业应用程序。 利用范围Apache Shiro < 1.9.1 漏洞分析环境搭建这里使用此漏洞提交者4ra1n 师傅的漏洞demo(https://github.com/4ra1n/CVE-2022-32532)进行复现分析。 漏洞原理在漏洞分析之前,先了解一下相关漏洞产生原理。 在正则表达式中元字符.是匹配除换行符(\n、\r)之外的任何单个字符。
结合shiro源码和漏洞场景分析,在shiro-core-1.9.0.jar中存在一个RegExPatternMatcher类 org.apache.shiro.util.RegExPatternMatcher.class。 RegexRequestMatcher和AntPathMatcher类似,提供请求路径匹配功能及拦截器参数解析的功能。而一般情况下RegexRequestMatcher类是不会在项目中出现,需要用户自己配置。 分析RegexRequestMatcher用于匹配的代码。 可以看到,这里正如上面漏洞原理分析的一样,pattern存在带.的正则表达式匹配,若source中存在\r或\n字符时,将判断错误。 而在4ra1n师傅构造的漏洞场景中。 自定义了Filter,增加权限认证场景: 1、判断请求头中的Token是否匹配。 2、如果不存在Token或者Token头错误则认为认证失败。 并且配置了自定义的AccessControlFilter实现类,并将 PatternMatcher配置为RegExPatternMatcher。 同时自定义MyShiroFilterFactoryBean。
在自定义controller中,配置了/permit/{value}这样从路径取参数的路由和/permit/*这样的通配路由。 漏洞复现当访问/permit/any,返回拒绝访问。 所以在如上满足使用了RegExPatternMatcher类,设置带有.的正则表达式等条件的场景下,利用该漏洞可实现权限认证绕过。 修复建议参考漏洞影响范围进行排查,目前官方已发布修复补丁:https://github.com/apache/shiro/commit/6bcb92e06fa588b9c7790dd01bc02135d58d3f5b 参考材料 |
CopyRight 2018-2019 实验室设备网 版权所有 |