博主介绍

‍ 博主介绍：大家好，我是 _PowerShell ，很高兴认识大家~
✨主攻领域：【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】
点赞➕评论➕收藏 == 养成习惯（一键三连）
欢迎关注一起学习一起讨论⭐️一起进步文末有彩蛋
作者水平有限，欢迎各位大佬指点，相互学习进步！

文章目录

• 博主介绍
• 一、漏洞简介
• 二、漏洞编号
• 三、影响版本
• 四、Fofa
• 五、漏洞检测
• 六、漏洞原理
• 七、环境准备
• 八、漏洞利用
• • 1、访问站点
  • 2、get方式/permit/any不加token
  • 3、get方式/permit/any加token
  • 4、使用 %0a 进行权限绕过
• 九、修复建议

一、漏洞简介

​ Apache Shiro 是一个强大且易用的 Java 安全框架，通过它可以执行身份验证、授权、密码和会话管理。使用 Shiro 的易用 API，您可以快速、轻松地保护任何应用程序 —— 从最小的移动应用程序到最大的 WEB 和企业应用程序。
2022年6月29日，Apache官方披露Apache Shiro权限绕过漏洞(CVE-2022-32532)，当Apache Shiro中使用RegexRequestMatcher进行权限配置，且正则表达式中携带”.”时，未经授权的远程攻击者可通过构造恶意数据包绕过身份认证，导致配置的权限验证失效。

二、漏洞编号

CVE-2022-32532

三、影响版本

Apache Shiro < 1.9.1

四、Fofa

"Apache Shiro"

五、漏洞检测

在config\pom.xml的version标签中查看当前使用的shiro版本号。

六、漏洞原理

在正则表达式中元字符.是匹配除换行符（\n、\r）之外的任何单个字符。
要匹配包括 \n 在内的任何字符，需使用像(.|\n)的模式。
在java中的正则默认情况下.也同样不会包含\n、\r字符，因此在一些场景中，使用正则.的规则就有可能被绕过。
新增Pattern.DOTALL模式后，正则表达式.就可以匹配任何字符包括换行符。
在shiro-core-1.9.0.jar中存在一个RegExPatternMatcher类，提供请求路径匹配功能及拦截器参数解析的功能。pattern存在带.的正则表达式匹配，若source中存在\r或\n字符时，将判断错误。

七、环境准备

我这里使用的是 vulfocus 靶场，大家也可以自行搭建靶场。我就为了省事儿，就用了 vulfocus 复现的

https://vulfocus.cn/

vulfocus 筛选靶场如下，直接搜索需要的靶场环境就可以了，在这里也给大家推荐一下八，可以为需要大量复现漏洞的安全工作者节省大量时间。

这个下面就是平台给出的镜像信息和一些提示信息。我们直接访问他所给的 ip+端口 就可以访问到我们的靶场环境了。

访问所给ip:端口

八、漏洞利用

1、访问站点

直接访问ip:端口，抓包如下

2、get方式/permit/any不加token

把抓到的包放到重发模块，以get方式/permit/any
访问被拒绝

3、get方式/permit/any加token

把抓到的包放到重发模块，以get方式/permit/any，并加token进行身份认证
访问成功

4、使用 %0a 进行权限绕过

把抓到的包放到重发模块，以get方式/permit/a%0any
访问成功

九、修复建议

目前Apache官方已发布此漏洞修复版本，建议用户尽快升级至Apache Shiro 1.9.1及以上版本。

https://github.com/apache/shiro/releases/tag/shiro-root-1.9.1