shiro权限绕过&流量特征

Apache shiro是一个强大且易用的Java安全框架，执行身份验证，授权，密码和会话管理。使用shiro的API，你可以快速、轻松地获得任何应用程序，从最小的移动应用程序到最大的网络和企业应用程序。

shiro权限绕过的原因

Apache shiro是一个java的安全管理框架，可以和spring一起使用。shiro框架通过拦截器来实现对用户访问权限的控制和拦截。

shiro常见的拦截器有anon，authc等。

1.anon：匿名拦截器，不需要登录就能访问，一般用于静态资源，或者移动端接口。

2.authc：登录拦截器，需要登录认证才能访问的资源。

shiro权限绕过的限制条件

1.网站同时使用shiro和spring

2.shiro满足特定的版本

CVE-2016-6802

shiro版本：shiro<1.5.0

shiro与spring的URL中末尾的/不同导致的权限绕过

其中*表示匹配零个或多个字符串，/*可以匹配/admin，但匹配不到/admin/因为*通配符无法匹配路径。

假如/admin接口设置了authc拦截器，访问/admin将会被进行权限判断，如果请求的url为/admin/呢，/*的url路径表达式将无法正确匹配，放行。然后进入到spring（servlet）拦截器，而spring中/admin形式和/admin/形式的url访问的资源是一样的，从而导致了绕过。

CVE-2020-1957

shiro版本：shiro<1.5.2

#绕过的payload
/xxx/..;/admin/
/.;/admin/

通过网络判断，网站处理url时会经过shiro处理，再转到springboot进行路由分发工作。而在shiro中，在对url中的；进行处理时会将url进行截断，然后对/xxx/..进行权限校验，校验通过之后再由springboot进行路由分发，然后springboot会将url /xxx/..;/admin/ 解释为/admin/，这样我们就可以成功访问到原本访问不到的接口了。

验证流程大致如下：

客户端发送请求/xxx/..;/admin/
shiro处理之后返回/xxx/..校验通过
springboot处理/xxx/,,;/admin/返回/admin/
最后访问到需要权限校验的资源

漏洞复现

1.我们在对vulhub靶场进行安装，并启动docker-compose，并在shiro靶场目录下启动靶场

docker-compose up -d

2.打开网站我们可以抓包进行shiro权限绕过，对get请求头进行插入payload：/xxx/,,;/admin/，发送看到响应包200ok，把包放掉，发现网站已经绕过权限进入后台用户界面。

流量特征

看url出现/xxx/..;/admin/或者/.;/admin/有这些特征就说明有shiro权限绕过