tomcat的路径url解码特性

前言:tomcat的路径url解码特性笔记,这个方法比较有意思,自己通过这个方式fuzz挖到过多个厂商src的漏洞

参考文章:https://www.cnblogs.com/zpchcbd/p/14815501.html

tomcat中间件url解码特性

tomcat中间件什么时候会做路径url解码的操作呢?

通过调试会发现在进行url解码的时候是在org.apache.catalina.connector.CoyoteAdapter#postParseRequest执行的,如下所示

在org.apache.tomcat.util.buf.UDecoder#convert方法中会对url编码的数据进行url解码的操作,如下图所示会先找到百分号的索引的位置

如果百分号后面的两个字符都是存在的,那么则会通过x2c方法进行转换,可以看到就是将十六进制的数据转换为十进制的数据然后返回

    private static int x2c(byte b1, byte b2) {
        int digit = b1 >= 65 ? (b1 & 223) - 65 + 10 : b1 - 48;
        digit *= 16;
        digit += b2 >= 65 ? (b2 & 223) - 65 + 10 : b2 - 48;
        return digit;
    }

tomcat

参考文章:https://www.cnblogs.com/zpchcbd/p/14815501.html

路径url解码特性配合requesturi函数的特性实现权限绕过

spring

路径url解码特性配合requesturi函数的特性实现权限绕过

比较实际的写法如下,spring-mvc.xml配置文件

<?xml version="1.0" encoding="UTF-8"?>
 
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xmlns:context="http://www.springframework.org/schema/context"
       xmlns:mvc="http://www.springframework.org/schema/mvc"
       xsi:schemaLocation="http://www.springframework.org/schema/beans
       http://www.springframework.org/schema/beans/spring-beans.xsd http://www.springframework.org/schema/context https://www.springframework.org/schema/context/spring-context.xsd http://www.springframework.org/schema/mvc https://www.springframework.org/schema/mvc/spring-mvc.xsd"
>
    <context:component-scan base-package="com.zpchcbd.controller"/>
 
    <!--配置拦截器-->
    <mvc:interceptors>
        <mvc:interceptor>
            <mvc:mapping path="/**"/>
            <bean class="com.zpchcbd.interceptor.LoginInterceptor" />
        </mvc:interceptor>
    </mvc:interceptors>
 
    <!--视图解析器:DispatcherServlet给它的ModelAndView-->
    <bean class="org.springframework.web.servlet.view.InternalResourceViewResolver" id="InternalResourceViewResolver">
        <!--前缀-->
        <property name="prefix" value="/WEB-INF/jsp/"/>
        <!--后缀-->
        <property name="suffix" value=".jsp"/>
    </bean>
</beans>

AuthController.java

@Controller
public class AuthController{
    @RequestMapping("/auth/")
    @ResponseBody
    public String auth(Model model) {
        return "Hello Auth";
    }
}

LoginInterceptor.java

public class LoginInterceptor extends HandlerInterceptorAdapter {
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        String requestPath = request.getRequestURI();
        System.out.println(requestPath);
        if (requestPath.indexOf("/auth/") != -1) {
            // user接口下的话都需要鉴权,这里默认直接失败
            PrintWriter writer = response.getWriter();
            writer.write("No auth!");
            writer.close();
            return false;
        }
        return true;
    }
}

正常请求/auth/接口的时候为禁止访问,如下图所示

如果用之前/auth;/的路径接口访问也是可以的

这篇笔记针对的是路径url解码,所以这里的话对其中的字母h进行url编码访问,如下图所示 可以看到权限绕过

特性分析

参考文章:https://www.cnblogs.com/zpchcbd/p/14815501.html

posted @   zpchcbd  阅读(463)  评论(0编辑  收藏  举报
相关博文:
· tomcat的上传代码特性
· URL解析器的解析差异性
· url解析特性造成绕过访问
· tomcat 处理url特殊字符
· 12、tomcat自检题目
阅读排行:
· 开源Multi-agent AI智能体框架aevatar.ai,欢迎大家贡献代码
· Manus重磅发布:全球首款通用AI代理技术深度解析与实战指南
· 被坑几百块钱后,我竟然真的恢复了删除的微信聊天记录!
· 没有Manus邀请码?试试免邀请码的MGX或者开源的OpenManus吧
· 园子的第一款AI主题卫衣上架——"HELLO! HOW CAN I ASSIST YOU TODAY
历史上的今天:
2020-01-16 原生SMB重放攻击链路
点击右上角即可分享
微信分享提示