shiro认证绕过：CVE-2020-(1957,17523)

一、漏洞名称：

Apache Shiro 身份验证绕过漏洞复现

二、漏洞编号：

CVE-2020-1957，CVE-2020-17523

三、漏洞描述：

Apache Shiro多个版本中存在认证绕过漏洞。攻击者可构造特殊的请求绕过身份验证访问目标服务。

四、影响版本：

Apache Shiro <= 1.7.0

五、漏洞分析

Shiro框架通过拦截器功能对用户访问权限进行控制，如anon，authc等拦截器。anon为匿名拦截器，不需要登录即可访问。authc为登录拦截器，需要登录才能访问。Shiro的URL路径表达式为Ant格式，匹配规则如下：

Wildcard

Description

匹配任何单字符

*

匹配0或者任意数量的字符

**

匹配0或者更多的目录

CVE-2020-1957：

1. 第一个问题点在于URL路径的匹配机制的差异：在Shiro中/hello/*可以匹配/hello/123，但无法匹配/hello/123/。而在spring框架的映射机制中/hello/123/也可以匹配到/hello/123，从而产生了绕过。在shiro1.5.0中修复了该漏洞
2. 第二个问题点在于URL路径获取机制的差异：在shiro中只取分号前面的路径，而在spring中会将分号前后的路劲进行拼接，从而产生绕过。

CVE-2020-17523 ：

3. 和 CVE-2020-1957 一样，在domatch()的匹配机制中对url和pattern做匹配时，shiro对url路径做了去除空格的操作，与spring本身对URL的处理产生差异导致漏洞的产生

六、实验环境及准备：

1. 下载演示代码，或者自己写也行。这边直接在github下载shiro的项目：
   下载地址：https://github.com/lenve/javaboy-code-samples/tree/master/shiro/shiro-basic
2. 导入到IDEA中修改shiro认证拦截规则和映射地址
   
   

七、复现步骤：

1. 末尾空格绕过

复现很简单，主要在于代码分析和跟踪

1. 第一个点入口在AbstractShiroFilter的getExecutionChain函数中。
   

2. 进而追踪到PathMatchingFilterChainResolver的getChain函数中，该函数作用根据URL路径匹配中配置的url路径表达式来匹配输入的URL，判断是否匹配拦截器，匹配成功将会返回响应的拦截器执行链，让ShiroFither执行权限操作的。其对于URL路径表达式和输入URL的匹配主要通过pathMathches函数进行匹配。到这里根据Ant的匹配规则就知道，这里不会匹配上任何拦截器，从而绕过了认证拦截。
   

3. 继续跟进的话，会到AntPathMatcher的doMatch函数中做具体匹配工作，感兴趣的可以继续研究。
   

4. Shiro的拦截过了之后就到了spring的路由分发过程，从DispatcherServlet#doService开始跟进
   

主要跟踪获取Handler的程序

最终跟到PatternsRequestCondition#getMatchingPattern，关键代码如下，将pattern加上/再和URL进行匹配，这样就正好匹配上了

2. 穿插分号绕过

升级shiro版本到1.5.0后，末尾斜杠的方法无法绕过

通过插入分号的方式成功绕过

代码跟踪

1. 还是和上面一样从同一个入口进去，跟踪到获取URL地址的地方PathMatchingFilterChainResolver#getChain
   

2. 一直可以跟进到URL规范化处理函数中
   

3. 跟进到最终处理的函数中WebUtils#decodeAndCleanUriString，对URL字符串进行了截取
   

4. 而在spring的URL处理中，对分号前后的字符串进行了拼接。从DispatcherServlet# doDispatch一直跟到UrlPathHelper#removeSemicolonContentInternal就可以看到URL获取及清理的整个过程
   
   

   由于两个地方对URL清理的差异化导致shiro认证拦截器的绕过并能访问到目标服务。

3. 末尾空格绕过

1. 直接跟进到AntPathMatcher.class中获取路径列表
   

2. 继续一直跟进到tokenizeToStringArray函数中，可以看到去除空格的操作