0x00 前言

在之前只是单纯的复现了漏洞，没有记笔记，所以补充了这篇分析笔记。

影响版本：shiro < 1.5.2

0x01 环境搭建

环境用的是：https://github.com/lenve/javaboy-code-samples/tree/master/shiro/shiro-basic

0x02 漏洞复现

CVE-2020-1957 漏洞 主要是权限绕过的问题，spring和shiro对路由的识别不一致，所以就导致了绕过的问题。 主要是两种绕过方式，一种是/a/1/，一种是/xxx/…;/

1. /绕过

首先是直接访问权限校验的接口

通过 /绕过

2. /xx/…;绕过

首先是直接访问权限校验的接口

通过/xx/…;绕过

0x03 漏洞分析

1、/绕过分析

1.1 shiro部分

先来简单的看一下shiro的原理：

每一次的请求都会从AbstractShiroFilter中走。进入到doFilterInternal进行后续处理。
主要是做了两件事情：

• 创建Subject
• 线程绑定execute
  
  我们主要关心的是executeChain

1.1.1 executeChain

executeChain将请求分发给合适的过滤器

默认是 org.apache.shiro.web.filter.mgt.PathMatchingFilterChainResolver 类型

获取当前请求路径

进入循环进行对比，跟到doMatch
在这里进行路径匹配对比，就是和在配置里的内容进行对比
因为匹配规则的问题，shiro会认为/a/1和/a/1/是两个内容，所以，/a/1/不需要校验，所以就放行了。

# 1.2.spring原理

在spring中会忽略/将之前的内容当做参数，所以在sping处理/a/1/的时候会认为请求的是/a/1所以就请求到了权限校验的部分。

1.3 总结

也就是说，shiro认为/a/1/是一个不需要授权就可以访问的接口，但是spring认为/a/1/访问的是/a/1需要授权的接口，spring认为shiro是安全的，所以直接放行了。

2. /xx/…;绕过分析

2.1 shiro

在 shiro中，当拿到url为/xx/…;/aaa/的时候，会认为访问的是/xx/…，然后再拿着/xx/…在需要进行权限判断的地方找，发现/xx/…不需要权限校验，则放行，交由spring进行处理。

断点下在：
shiro-web-1.4.2.jar!\org\apache\shiro\web\filter\mgt\PathMatchingFilterChainResolver.class#getChain

慢慢跟，慢慢分析，急不得。

2.2 Spring

在Spring中会对输入的url进行处理，首先需要处理的是/xx/…;/aaa/1，先通过removeSemicolonContent去掉；符号

那么去除之后就是/xx/…/aaa/1，其实不看源码，也知道这样子的url最终会变成/aaa/1

那么spring最终还是会访问到/aaa/1，绕过了权限限制。

断点下在：
spring-web-5.1.7.RELEASE.jar!\org\springframework\web\util\UrlPathHelper.class#getLookupPathForRequest

0x04 修复方式

在1.52版本中，在代码中删除了最后的/

处理了/xx/…;/的情况

以上