[ HOME ]  [ 개인정보 보호정책 ]  [ 0day ]  [ 업무 합작 ]  [ 해킹 서비스 ]  [ 프로젝트 개발 ]  [ faq ]  [ 연락하기 ]  [ 원격 제어 트로이 목마 ]  [ 지불 ]    사용자: 25793     
Telegram

제목 : Apache Shiro 인증 우회 취약성 재발 (CVE-2020-1957)

K

KoreanHackerTeam

Moderator

0x00 漏洞描述​

1.5.2 이전에 Apache Shiro에 보안 취약점이 있습니다. 공격자는 특별히 제작 된 요청을 사용하여 인증을 우회 할 수 있습니다. Shiro Framework는 Anon, AuthC 및 기타 인터셉터와 같은 인터셉터 기능을 통해 사용자 액세스 권한을 제어합니다. Anon은 익명의 인터셉터이며 로그인에 액세스 할 필요가 없습니다. AuthC는 로그인 인터셉터이며 액세스에 로그인해야합니다. Shiro의 URL 경로 표현식은 개미 형식입니다. 경로 와일드 카드 *는 0 이상의 문자열과 일치하는 것을 의미합니다./*와 일치 할 수 있지만 * 와일드 카드가 경로와 일치 할 수 없기 때문에 일치 할 수는 없습니다. /hello 인터페이스에 AuthC 인터셉터가 설정되어 있다고 가정하면 액세스 /hell Spring의 양식 /hello 및 /hello//hello//hello /hello의 URL에서 액세스하는 리소스는 동일하므로 권한 우회를 달성합니다.

0x01 漏洞影响​

Apache Shiro 1.5.2

0x02 Shiro拦截器​

Shiro 프레임 워크는 인터셉터 기능을 사용하여 사용자 액세스 권한을 제어하고 가로 채립니다. Shiro의 일반적인 인터셉터에는 ANON, AUTC 및 기타 인터셉터가 포함됩니다. 1. ANON은 익명의 인터셉터이며 로그인하지 않고 액세스 할 수 있습니다. 일반적으로 정적 리소스 또는 모바일 인터페이스에 사용됩니다.
2. AUTHC는 액세스에 로그인 인증이 필요한 리소스입니다. 사용자는 Shiro.ini에 일치하는 URL 구성을 작성할 수 있으며, 이는 일치하는 URL을 가로 채고 응답 인터셉터를 실행합니다. 이것은 URL의 액세스 제어를 실현하고 URL 경로 표현식은 일반적으로 개미 형식입니다. 다음 구성으로 /index.html 홈페이지에 액세스 할 때 Shiro는 로그인 판단을하지 않으며 Anon 인터셉터는 로그인하지 않고 액세스 할 수 있습니다. /user /xiaoming 등과 같은 인터페이스의 경우 Authc 인터셉터가 판단하기 위해 로그인하면 로그인 인증이있는 경우에만 리소스에 액세스 할 수 있습니다. [URLS]
/index.html=anon
/user/**=authc
Shiro의 URL 경로 표현식은 개미 형식이며, 경로 와일드 카드가 지원 되는가? ***. 캐릭터와 일치합니다
*: 영역 이상을 일치시킵니다
** : 경로에서 0 이상의 경로를 일치시킵니다
여기서 *는 0 이상의 문자열과 일치하는 것을 의미합니다./*는 /hello /hello /hello /와 일치 할 수 있습니다. * 와일드 카드는 경로와 일치 할 수 없기 때문입니다. /hello 인터페이스에 AuthC 인터셉터가 있다고 가정하면 액세스 /hello는 허가를받을 것입니다. 요청 된 URI가 /hello /인 경우 /*URL 경로 표현식은 올바르게 일치하고 해제되지 않습니다. 그런 다음 스프링 (서블릿) 인터셉터로 들어가면 /hello 양식 및 /Hello /Form의 URL에서 액세스하는 리소스가 동일합니다.

0x03 环境搭建​

다운로드 데모 코드 :3https://github.com/lenve/javaboy-code-samples/tree/mas GroupIdorg.apache.shiro/groupId artifactidshiro-spring/artifactid version1.4.2/version/eppendency modify shiroconfig 구성 파일 및 authc interceptor @bean shirofilterctorybean shirofilterfactorybean () {shirofilterfactorybean bean (shirofilterfactorybean); //map.put('/* ','Authc '); map.put ( '/hello/*', 'authc'); bean.setfilterchainDefinitionMap (map); 귀환 콩; } 라우팅 컨트롤러 메소드 @GetMapping ( '/hello/{currentPage}') public String Hello (@PathVariable Integer CurrentPage) {return 'Hello';} 아이디어를 통해 컴파일하면 전쟁 패키지를 얻을 수 있습니다. 여기에서 Docker : Docker Pull Vulfocus/Shiro -CVE_2020_1957
1049983-20201129040308848-1645994369.png
Docker 이미지
1049983-20201129040310600-1437781155.png
Docker run -p 8080:8080 -v /var/run/docker.sock:/var/docker. vul_ip=192.168.1.14 29136b1d3c61
1049983-20201129040311058-1699321640.png
-v /var/run/docker.sock:/var/run/docker.sock은 Docker Interactive 연결입니다. -e docker_url은 docker 연결 방법입니다. 기본적으로 Unix: //var/run/docker.sock 또는 tcp: //xxx.xxx.xxx.xxx.xxx:2375를 통해 연결할 수 있습니다 (포트 2375를 열어야 함). -v /vulfocus-api/db.sqlite:db.sqlite3 맵 데이터베이스는 로컬 파일입니다. -e vol_ip=xxx.xxx.xxx.xxx는 Docker Server IP입니다. 127.0.1.1.http://192.168.1.14:8080/로그인 3330
1049983-20201129040312412-1520455583.png

0x04 漏洞复现​

1. Shiro1.4.2 버전을 이용하십시오. AuthC 인터셉터가 가로 채고 로그인을 위해 로그인 인터페이스로 점프 할 수 있습니다.
1049983-20201129040312899-107128082.png
액세스/hello/1/, AuthC 인터셉터를 성공적으로 우회하고 리소스를 얻었습니다.
1049983-20201129040313397-685140363.png
2, Shiro 1.4.2 버전 취약성 분석 취약성 취약점은 PathMatchingFilterchainResolver의 getchain 기능 하에서 위치 할 수 있습니다. 이 기능은 URL 경로에서 구성된 URL 경로 표현식을 기반으로 입력 URL과 일치하여 인터셉터가 일치하는지 여부를 결정합니다. 성공적으로 일치하면 응답 인터셉터 실행 체인을 반환하여 Shirofither가 권한 작업을 수행 할 수 있습니다. URL 경로 표현식 및 입력 URL의 일치는 주로 PathMathches 함수를 통해 일치합니다.
yubmu5y00gm16013.png
Pathmatches 함수는 결국 Shiro.util.antPathMatcher 클래스에서 Domatch의 PathPattern 및 requestUri와 일치하도록 Domatch의 Pathpattern 및 RequestUri를 개미 형식으로 호출합니다. //PathMatches:135, PathMatchingFilterChainResolver (org.apache.shiro.web.filter.mgt)
보호 된 부울 경로 관리 (문자열 패턴, 문자열 경로) {
PatternMatcher PathMatcher=this.getPathMatcher ();
return pathmatcher.matches (패턴, 경로);
}
Domatch:109, antpathmatcher (org.apache.shiro.util), Shiro의 개미 형식 경로 패턴의 와일드 카드가 일치하는 경로를 지원하지 않으므로/hello/*는 성공적으로 일치 할 수 없습니다. 이것은 Shiro 인터셉터를 성공적으로 우회 한 다음 스프링 인터셉터에 들어갔다. /hello/1/및/hello/1은 동일한 리소스를 얻을 수 있습니다.
1049983-20201129040314275-1093796335.jpg
3, 버전 1.5.1,/hello/의 버전 바이 패스
1049983-20201129040314835-1924922284.png
바이 패스 페이로드, /fdsf ;/./hello/1로 직접 점프하고 성공적으로 우회했습니다.
1049983-20201129040315283-20701281.png
또는 기타 페이로드, xxxx /./hello/1, 성공적으로 우회했습니다 (Shiro 1.5.1 및 이전 버전)
1049983-20201129040315783-1999845617.png
위의 처리 프로세스 : 클라이언트 요청 URL:/xxxx /. /xxxx/./hello/1, 최종 요청/안녕하세요, 백그라운드 요청이 성공적으로 액세스되었습니다. Shiro≤1.5.1의 취약성 분석 문제는 getchain 함수에 위치하여 requesturi를 얻을 수 있습니다. 아래 그림에서 볼 수 있듯이, this.getPathWithInapplication (요청)에 의해 얻은 요청 루리는 /fdsf가 아닌/fdsf입니다.
w0x503vvibp16018.png
webutils (org.apache.shiro.web.util)의 getRequesturi 함수가 요청되어 요청 루리를 얻습니다. public static string getRequesturi (httpservletrequest 요청) {
문자열 uri=(문자열) request.getAttribute ( 'javax.servlet.include.request_uri');
if (uri==null) {
uri=request.getRequesturi ();
}
Return Normalize (DecodeandCleanUistring (요청, URI));
}
DecodendCleanUistring 함수는 마침내 requesturi 함수에서 URI를 청소하기 위해 호출됩니다.
개인 정적 문자열 decodeandcleanUristring (httpservletrequest request, string uri) {
uri=decoderequestString (요청, uri);
int semicolonindex=uri.indexof (59); //숫자의 위치를 가져옵니다
반환 semicolonindex!=-1? uri.substring (0, semicolonindex) : uri;
}
A가있는 경우; URI의 번호는 삭제 된 후 모든 문자가 삭제됩니다. /fdsf ;/./hello/1/결국/fdsf가되었습니다.
imesfdac4bd16019.png
5. 취약성 요약 웹 컨테이너에서 Shiro의 인터셉터는 먼저 Spring (Servlet)으로 실행됩니다. 두 인터셉터 사이의 URI 패턴 일치의 차이는 Shiro 인터셉터를 우회하게됩니다. 시로는 그것을 두 번 수리했다. 처음으로 Shiro 1.4.2에서 요청 루리 후/번호를 삭제하기 위해 URL 경로와 일치하는 것이 취약성이었습니다. 이 방법을 우회하는/번호를 추가하는 간단한 수정으로 간주됩니다. 그런 다음 1.5.2에서 requesturi 자율 스 플라이 싱을 사용하여 방법을 고정시켰다. /fdsf; /./Hello/1/등; requesturi를 사용하여 방법을 우회합니다.

0x05 修复方案​

1. Shiro 1.5.2에서 추가 된 버전 1.5.2에 추가 된 필터 규칙을 업그레이드합니다. '/servlet', '/foobar', '/servlet/foobar') dottestgetPathwithInApplicationFromErquest ( '', 'servlet', '/foobar', '/servlet/foobar') dottestgetPathwithInapplicationFromRequest ( '', 'servlet', '/servlet/') dottestgetPathwithInapplicationFromEquest ( '/', 'servlet', '/foobar', '/servlet/foobar') dottestgetPathwithInApplicationFromRomRequest ( '//', 'servlet', '/foobar', '/servlet/foobar') DottestPathipplest (dottestwithinaptrest (//servertget” '/servlet/foobar') dottestgetPathwithInapplicationFromEquest ( '/context-path', '/servlet', '/foobar', '/servlet/foobar') dottestgetPathWithInApplicationFromErquest ( '//context-path', '//servlet', '//foobar', '/foobar'). dottestgetPathwithInApplicationFromEquest ( '//context-path', '/servlet', '/asdf', '/./servlet/other', '/servlet/other') dottestgetPathWithInApplicationFromErquest ( '//context-path', '/asdf', '/aSDF', '/asdf'). DottestGetPathwithInapplicationFromEquest ( '/context%2525Path', '/servlet', '/foobar', '/servlet/foobar') dottestGetPathWithInApplicationFromEquest ( '/c%6fnext%20 patp', '/servlet', '/server/foobar') DottestGetPathWithInApplicationFromEquest ( '/context path', '/servlet', '/foobar', '/servlet/foobar') dottestGetPathWithInApplicationFromRomRequest ( '', null, '/') dottestPathWithInapplicationFromEquest ( '')
2. 동적 라우팅 인터셉터를위한 * 와일드 카드를 URL 경로 표현식으로 사용하지 마십시오.

0x06 参考文献​

https://https//.zhihuifly.com/t/topic/2822 https://paper.seebug.org/1196/3359xz.aliyun.com/t/8281
 
여기에 답변하려면 로그인 또는 등록해야합니다.

Partner Website: HACKHUB TW hacker Team Black hat dark Web hacking team HACKING FOURM HACKER.BZ UKhacker
대한민국 최대 해커 포럼:본 사이트의 튜토리얼, 글, 도구 및 기타 관련 내용은 학습과 연구용으로만 제공되며, 그 목적은 대중의 인터넷 보안의식과 보안능력을 제고하는 것입니다.
우리는 어떤 형식의 불법 활동이든 강력히 반대하며, 타인의 네트워크 시스템에 침입하거나 공격하거나 파괴하는 허가 없는 행위를 금지한다.
Copyright © 2013-2025 KRHACK 당신은 우리의 텔레그램에 연락해서 업무 협력을 할 수 있다: @APTs37  웹 싸이트 지도Sitemap
뒤로
상단