🍬 博主介绍

👨‍🎓 博主介绍：大家好，我是 _PowerShell ，很高兴认识大家~
✨主攻领域：【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】
🎉点赞➕评论➕收藏 == 养成习惯（一键三连）😋
🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋
🙏作者水平有限，欢迎各位大佬指点，相互学习进步！

一、漏洞编号

CVE-2020-1957
1

二、漏洞描述

Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。内置了可以连接大量安全数据源（又名目录）的Realm，如LDAP、关系数据库（JDBC）、类似INI的文本配置资源以及属性文件等。
Apache Shiro 1.5.2之前的版本，由于Shiro拦截器和requestURI的匹配流程与Web框架的拦截器的匹配流程有差异，攻击者构造一个特殊的http请求，可以绕过Shiro的认证，未授权访问敏感路径。
此漏洞有两种攻击方式，第一种攻击方式适用于Shiro < 1.5.0版本，由于Shiro 1.5.0版本修复补丁考虑不全面，导致补丁绕过，出现了第二种攻击方式，适用于Shiro < 1.5.2版本。

三、影响范围

Apache Shiro < 1.5.2
1

四、漏洞环境

本次漏洞复现采用vulhub环境
Vulhub采用的环境是Spring 2.2.2与Shiro 1.5.1的应用

vulhub搭建：

https://blog.csdn.net/qq_51577576/article/details/125048165
1

进入CVE-2020-1957环境

cd vulhub/shiro/CVE-2020-1957
1

启动CVE-2020-1957环境

docker-compose up -d
1

查看CVE-2020-1957环境

docker-compose ps
1

环境启动后，访问http://ip:8080即可查看首页:

五、漏洞复现

POC

构造恶意请求/xxx/…;/admin/，即可绕过权限校验，访问到管理页面。
/xxx/…;/admin/

访问/admin/目录需要认证

使用BurpSuite抓取数据包，访问/admin/目录：

回显302并跳转到登录页面：

绕过认证：/xxx/…;/admin/

构造恶意请求/xxx/…;/admin/，即可绕过权限校验，访问到管理页面：

六、原理分析：

客户端请求URL: /xxx/…;/admin/
Shrio 内部处理得到校验URL为 /xxxx/…;校验通过
SpringBoot 处理 /xxx/…;/admin/ , 最终请求 /admin/, 成功访问了后台请求

七、修复方式

Apache Shiro最新版本已经修复此漏洞，请受漏洞影响的用户下载最新版本，下载链接：http://shiro.apache.org/download.html

八、相应资源

原文下载