Apache Shiro 身份验证绕过漏洞复现(CVE-2020-11989)

0x00 漏洞简述

Apache Shiro 1.5.3之前的版本中，当将Apache Shiro与Spring动态控制器一起使用时，精心编制的请求可能会导致绕过身份验证,如果直接访问 /shiro/admin/page ，会返回302跳转要求登录，访问 /;/shiro/admin/page , 就能直接绕过Shiro权限验证，访问到/admin路由中的信息

0x01 漏洞影响

Apache Shiro 1.5.3之前的版本

Spring 框架中只使用 Shiro 鉴权

0x02 环境搭建

1.下载项目到本地https://github.com/l3yx/springboot-shiro

2.通过idea编辑器对其进行编译成war包，然后讲放入到tomcat下的webapps目录中，运行即可。

这里已编译好war包：

https://github.com/backlion/demo/blob/master/shiro.war

0x03 漏洞复现

1.权限配置如下，其中/admin下的路由需要登录才能访问

@Bean
ShiroFilterFactoryBean shiroFilterFactoryBean(){
    ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
    bean.setSecurityManager(securityManager());
    bean.setLoginUrl("/login");
    bean.setSuccessUrl("/index");
    bean.setUnauthorizedUrl("/unauthorizedurl");
    Map<String, String> map = new LinkedHashMap<>();
    map.put("/doLogin", "anon");
    map.put("/admin/*", "authc");
    bean.setFilterChainDefinitionMap(map);
    return  bean;
}
---
@GetMapping("/admin/page")
public String admin() {
    return "admin page";
}

2.maven打包项目为shiro.war，部署于Tomcat。该漏洞成功利用存在下面两个条件

应用不能部署根目录root目录下，也就是需要context-path，server.servlet.context-path=/shiro，如果为根目录则context-path为空，就会被CVE-2020-1957的patch将URL格式化，值得注意的是若Shiro版本小于1.5.2的话那么该条件就不需要。
Spring控制器中没有另外的权限校验代码

3.如果直接访问 /shiro/admin/page ，会返回302跳转要求登录

4.但是访问 /;/shiro/admin/page , 就能直接绕过Shiro权限验证，访问到/admin路由中的信息

0x04 漏洞分析

由于Shiro的权限校验是通过判断url匹配来做的，如果能找到Shiro获取的url与Web框架处理url不一致的情况就能造成权限绕过。Shiro中对于URL的获取及匹配在org.apache.shiro.web.filter.mgt.PathMatchingFilterChainResolver#getChain

以访问/;/shiro/admin/page举例，通过getPathWithinApplication函数得到的路径为/