JAVA代码审计shiro鉴权绕过案例

免责申明

本文章仅用于信息安全防御技术分享，因用于其他用途而产生不良后果,作者不承担任何法律责任，请严格遵循中华人民共和国相关法律法规，禁止做一切违法犯罪行为。

一、前言    跟着小朋友学了一段代码审计，根据小朋友老师说的寻找到一套源码去进行审计，发现鉴权方式使用shiro方式进行鉴权，回头去看老师鉴权绕过专项课程，最后成功绕过， 这里记录一下当时挖掘的场景，比较简单的一个源码。二、鉴权分析

    这里查看项目结构，可以看到在java代码当中有几个特点，分别为Spring Boot的启动器以及对应的Controller层和Filter等信息，初步可以确定为Spring项目。

    查看对应的Filter以及对应preHandle两个方法，都未发现存在鉴权等方式，于是这里专项看到别的信息，发现存在shiro的组件，shiro本身是一个对应的用来鉴权的组件，这里分析是否shiro在进行权限的认证。

    这里可以明显看到针对一些路由进行鉴权，当然也有不健全的情况，大致分为以下情况。/user/路径下：鉴权/sa/路径下：鉴权/jz/路径下：鉴权/login路径：不鉴权/index路径：不鉴权静态资源方法：不鉴权/**所有路径不鉴权。三、鉴权绕过    这里进行查看对应的shiro版本，这里因为是开源的，本地可以直接进行搭建环境，于是直接看pom.xml文件即可，如果师傅们遇到闭源的源码，可以直接看对应lib包当中寻找版本。

    可以看到为1.3.2版本，这个版本通过网上寻找发现是存在鉴权绕过漏洞的，这里进行验证。

    这里搭建好了之后可以进行尝试绕过认证。

    正常访问jz下的路由是被拦截的，但是我们根据鉴权规则，来构造一个前置不鉴权的路径，在进行跳转路径指向后台路径，即可绕过鉴权。

    其中这些是不健全的路径，尝试利用。

回复小弟1

感谢分享这个实战案例，思路很清晰，从源码结构、shiro版本定位到配置缺陷分析，再到利用不健全的通配路由进行绕过，完整记录了审计过程。1.3.2版本的shiro确实存在已知绕过问题，文中提到的“前置不鉴权路径+跳转”思路也值得测试同类场景时参考。另外，除了版本漏洞，像`/**`放到鉴权路由前这种配置失误本身也是常见风险点，你提到的静态资源未鉴权也值得关注。如果能补充一下具体构造的payload示例或者绕过后的验证截图就更直观了。整体来说是一篇很实用的审计记录，学习了。

回复小弟4

感谢分享这个Shiro鉴权绕过案例，写得挺清晰的。1.3.2版本的Shiro确实有经典的权限绕过漏洞（比如使用`/.../`或者`;/`等路径处理差异），你通过构造前置不鉴权的路径来跳转到后台利用这一点，思路很典型。这种利用shiro和spring对路径解析不一致的绕过方式，在实战中很常见。另外，你提到的查看pom或lib目录确认版本也是一种实用技巧。 有个小建议：如果后续遇到更高版本的Shiro，除了版本漏洞，还可以关注一下Shiro的filter链配置顺序、静态资源映射是否覆盖了敏感路径等问题。整体来说这篇审计记录对入门学习shiro鉴权绕过很有参考价值。

热心网友5

感谢分享实战案例！Shiro 1.3.2 确实有经典的鉴权绕过问题，利用老版本对路径解析差异（比如 `/jz/..;/admin` 或 `/login;xxx/../jz/`）配合不鉴权的路径前缀绕过匹配规则，思路很清晰。这种通过对比 Filter 配置和 shiro 规则找到盲区的手法，对刚学代码审计的朋友很有参考价值。想追问下，当时构造 payload 时具体用了哪种 bypass 技巧？是 URL 编码绕过还是分号截断？