[技术分享]记一次实战中的权限绕过

原创 于 2025-01-07 09:15:51 发布 · 794 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #安全

如果觉得该文章有帮助的,麻烦师傅们可以搜索下微信公众号:良月安全。点个关注,感谢师傅们的支持。

免责声明

本博客所发布的所有内容,包括但不限于信息、工具、项目以及文章,均旨在提供学习与研究之用。所有工具安全性自测。如因此产生的一切不良后果与文章作者和本公众号无关。如有涉及公司与个人敏感信息,侵权烦请告知,我们会立即删除并致歉。

前置知识

alwaysUseFullPath属性

当 Spring Boot 版本在小于等于 2.3.0.RELEASE 的情况下,alwaysUseFullPath 为默认值 false。

其会经过 getPathWithinServletMapping 方法进行处理。

而 getPathWithinServletMapping 会获取 ServletPath 并进行对应的处理,主要是调用 request.getServletPath( 对 uri 标准化处理,例如解码然后处理跨目录等一系列操作)方法,这就导致了可能的身份验证绕过。

SuffixPatternMatch属性

当设置了 SuffixPatternMatch 属性为 true 时,就是开启了后缀匹配模式,用于能以 .* 的方式进行匹配。

根据代码可以知道,当启用后缀匹配模式时,当传入的路径包括 46 (就是 . 号),会以 .* 结尾的方式进行匹配,pattern 是我们注册的路由,lookupPath 是我们访问的路由。

例如存在注册路由 /auth,会以 /auth.* 的形式进行匹配,即 /auth.css 和 /auth 的匹配结果是一样的。

实战绕过

目标环境大概有个拦截器如下,获取请求的 uri,如果其中不包含 login,就会校验是否登录,未登录状态下进行拦截。

登录接口 /login 是不需要校验的。

查询接口 /query 会校验是否登录。

查看 UrlPathHelper 类中的 alwaysUseFullPath,其为 true,所以很容易想到的就是通过 ../ 的方式来进行绕过,/login/../query,但因为当时目标环境是有 waf 的,. 号被过滤了,直接返回 403。

查看 RequestMappingHandlerMapping 类中的 SuffixPatternMatch 属性,其为 true,启用了后缀匹配模式 .*。

此时构造 /query.login 就成功绕过了,因为 uri.contains("login") 检测的就是只要 uri 中包含 login 即可。

LiangYueSec
关注
CVE-2022-22978 Spring-security 认证绕过漏洞分析和漏洞挖掘思考
Q54665642ljf的博客
09-08 7570
在此之前,已经对CVE-2022-32532 Apache Shiro RegExPatternMatcher 认证绕过漏洞进行了分析,它和CVE-2022-22978漏洞产生原理上,本质是一样的。在分析这两个漏洞后,结合今年kcon议题《自动化API漏洞Fuzz实战》,产生了对漏洞挖掘关注点的一些思考。
Spring MVC url-pattern匹配问题
weixin_44415997的博客
08-27 682
Spring MVC url-pattern匹配问题问题描述解决办法spring中设置 问题描述 存在Servlet A,其url-pattern为 /A/*,则形如/A,/A/bcd,/A/b/c/d等式样的请求全部能够被Servlet A匹配上。 但是SpringMVC的DispatcherServlet的url-pattern /A/*只能匹配上/A式样的请求,/A/abc,/A/b/c等式...
SpringMvc框架 解决在RESTFUL接口后加任意 “.xxx” 绕过权限的问题
09-18 438
问题描述: 框架使用的是SpringMVC、SpringSecurity,在做权限拦截的时候发现一个问题,假设对请求路径/user/detail进行了权限拦截,在访问/user/detail.abc的时候却能有权限访问 问题原因: SpringMVC框架会将“/user/detail.abc”与RequestMapping中的“/user/detail”进行正则匹配,匹配规则为:/...
【动态绕过SpringSecurity权限校验】
最新发布
qq_39356111的博客
11-28 1125
动态绕过SpringSecurity权限校验
Java - SpringBoot整合Shiro之二(权限授权和认证跳过)
Zong_0915的博客
11-14 5458
再看这篇文章之前,可以先过一遍SpringBoot整合Shiro,附带源码。这篇文章为该篇文章的进阶内容。目前为止,我在整合Shirojwt:自定义的JwtFilter过滤器,拦截所有的请求/**。anno:默认实现,。无需认证也可以访问。/login。logout:默认实现,。就是登出的时候的配置。/logout。本文没做相关的实现。不管他。我们在本环节只关注第二个。实际开发中,肯定是有一些接口是不需要经过登录认证的。我举个例子,你在看斗鱼直播的时候,在没登录的情况下,菜单数据也能出来、直播也能看。
Spring Security 的身份验证绕过漏洞CVE-2023-34035
日拱一卒无有尽,功不唐捐终入海
09-15 1826
背景:公司收到关于 Spring Security 的一个身份验证绕过漏洞的通知,该漏洞被标识为 CVE-2023-34035CVE-2023-34034:WebFlux使用未加前缀的双通配符模式绕过安全性Spring 建议采取以下两步缓解措施:步骤 1:升级到最新版本的 Spring Security(6.1.2 / 6.0.5 / 5.8.5)。链接:https://spring.io/projects/spring-security请按照此错误消息进行操作。
技术分享】ARM 架构—探究绕过NX的一种方式Ret2ZP .pdf
09-05
技术分享】ARM 架构—探究绕过NX的一种方式Ret2ZP是关于移动安全领域的一个技术讨论,主要关注ARM架构下的缓冲区溢出漏洞利用。ARM指令集被广泛应用于嵌入式设备和智能手机,因其高效能和低能耗而受到青睐。然而,...
Linux内核漏洞修复实战权限绕过漏洞的修复
- 1.3 常见的权限绕过漏洞类型 在第一章中,我们将深入探讨Linux内核漏洞的概念及其对系统安全性的影响。同时,我们将介绍常见的权限绕过漏洞类型,为后续修复工作奠定基础。 # 2. 漏洞分析与识别 - **2.1 检测...
CVE-2020-13933 靶场: shiro 认证绕过漏洞.zip
01-14
在靶场中,安全从业者可以分享攻防经验,交流最新的安全威胁情报,共同探讨解决方案。这有助于建立更广泛的安全社区,推动整个行业的发展。 总体而言,靶场在信息安全领域具有重要地位,为安全专业人员提供了实战...
springblade站点SQL注入实战案例waf绕过
问彡心的博客
07-07 1427
录指纹为springblade的后台接口存在sql注入的站点,进行云锁waf绕过的真实案例
VisionMaster加密技术实战指南:常见问题解答与限制绕过技巧
[VisionMaster加密技术实战指南:常见问题解答与限制绕过技巧](https://blog.clickstudios.com.au/wp-content/uploads/2021/10/Image01_Updates_to_Licensing_and_Encryption_Keys-1024x351.png) # 摘要 本文对...
Spring Security身份认证绕过漏洞风险通告
m0_67402341的博客
07-29 754
当SpringSecurity中使用RegexRequestMatcher进行权限配置,且规则中使用带点号的正则表达式时,未经授权的远程攻击者可通过构造恶意数据包绕过身份认证,导致配置的权限验证失效。当SpringSecurity中使用RegexRequestMatcher进行权限配置,且规则中使用带点号(.)的正则表达式时,未经授权的远程攻击者可通过构造恶意数据包绕过身份认证,导致配置的权限验证失效。未经授权的远程攻击者可利用此漏洞构造数据包绕过身份认证,导致配置的权限验证失效。...
Spring-本地调试如何跳过Spring Security权限校验
努力搬砖,顶峰相见
05-21 2088
项目中使用安全框架,例如使用Spring Security进行安全校验。但是在日常开发中,本地接口调试还要拿取token才能进行接口访问,并且token还会过期,总不能每次都去登录拿取token才能调试吧,那也太麻烦了,所以最好是找方法跳过安全校验这个步骤。下面就是如何暂时规避掉安全校验,方便我们的本地测试。
SpringBoot跳过权限验证配置
风起尘落的博客
07-01 5928
security.basic.enabled = false interceptor.exclude.path = /**
使用spring boot gateWay跳过某些服务鉴权
scdn_wyy的博客
05-16 1021
实现:在gateway中添加过滤器,实现GlobalFilter接口重写filter方法,并配置一个万能token(服务鉴权获取token,此时没有token,我们可以手动生成一个万能token保存起来,例如:在redis中设置一个不会过期的万能token),然后在跳转其他过滤器。目标:项目中使用spring boot gateway时会对服务请求进行鉴权,虽然可以在gateway服务的白名单中配置从而跳过鉴权,当可能存在某些接口不能向外暴露的情况,此时通过代码进行跳过鉴权的功能。
springboot 接口越过拦截器的三种方式
Y_ANXI的博客
01-14 2725
springboot 接口越过拦截器的三种方式
filter设计缺陷导致的权限绕过
蚁景网安学院
06-16 3751
1.1 权限控制的本质一般来说,为了防止越权操作,通常会结合filter进⾏相关接⼝的鉴权操作。其中不不外乎就是对每⼀个接口(通俗来说就是我们的URI/URL)进行业务梳理,然后判断当前...
浅析SpringBoot框架常见未授权访问漏洞
热门推荐
道阻且长,行则将至
02-23 2万+
本文总结学习了 Swagger-UI、SpringBoot Actuator、Druid、Webpack 组件的未授权访问漏洞基本原理与漏洞探测方法,在介绍了几款自动化扫描工具的同时,也简要分析了 CVE-2022-22947 Spring Cloud Gateway RCE 漏洞。
蚁剑实战入门:WebShell管理与安全绕过技术详解
蚁剑(AntSword)是一款功能强大、开源且...综上所述,《蚁剑实战入门指南[代码]》不仅是一份操作手册,更是通往高级Web渗透世界的钥匙,融合了工具使用、代码剖析、安全绕过与职业成长四大维度,极具学习与收藏价值。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值