如何进行Shiro权限绕过漏洞CVE-2020-1957复现


本篇文章给大家分享的是有关如何进行Shiro权限绕过漏洞CVE-2020-1957复现,小编觉得挺实用的,因此分享给大家学习,希望大家阅读完这篇文章后可以有所收获,话不多说,跟着小编一起来看看吧。Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。Shiro框架通过拦截器功能来对用户访问权限进行控制,如anon, authc等拦截器。anon为匿名拦截器,不需要登录即可访问;authc为登录拦截器,需要登录才可以访问。主要是Spring web在匹配url的时候没有匹配上/导致绕过A免费云主机域名pache Shiro
1.下载实验代码,下载地址:https://github.com/lenve/javaboy-code-samples/tree/master/shiro/shiro-basic2.下载完成后将项目导入Java IDEA中,在pom.xml文件可以看到shiro的版本,把版本修改成1.4.2。(不修改也可)3.打开maim目录下ShiroConfig.java文件,添加authc拦截器的拦截正则map.put(“/hello/*”, “authc”);4. 打开LoginController.java文件,修改路由控制器方法,添加一个方法。import org.springframework.web.bind.annotation.PathVariable;@GetMapping(“/hello/{currentPage}”)public String hello(@PathVariable Integer currentPage) {return “hello”;}5.启动应用点击右上角三角形,运行出现以下图片表示启动成功0x04漏洞复现1.在浏览器访问http://your-ip:8080/login,可以看到需要登录2.打开Burp访问首页进行抓包,并将抓到的包送到Reapter模块3.将url修改为/hello/1,发包,可以看到跳转到了登陆界面。4.在url处/hello/1后面再加上一个反斜杠/hello/1/,访问成功建议升级至最新版本以上就是如何进行Shiro权限绕过漏洞CVE-2020-1957复现,小编相信有部分知识点可能是我们日常工作会见到或用到的。希望你能通过这篇文章学到更多知识。更多详情敬请关注云编程开发博客行业资讯频道。

相关推荐: vmware克隆centos修改mac地址

故障背景:克隆完虚拟机后,连不上网,ifconfig查看后,发现网卡eth0没有启动,于是ifconfig eth0 up 启动eth0网卡,结果启动不了,进入/etc/sysconfig/network-scripts/ifcfg-eth0查看后,发现MAC…

免责声明:本站发布的图片视频文字,以转载和分享为主,文章观点不代表本站立场,本站不承担相关法律责任;如果涉及侵权请联系邮箱:360163164@qq.com举报,并提供相关证据,经查实将立刻删除涉嫌侵权内容。

Like (0)
Donate 微信扫一扫 微信扫一扫
Previous 02/05 12:15
Next 02/05 12:15