xxhzz

@PortalLab实验室

CVE-2022-22978 Spring-security RegexRequestMatcher 认证绕过漏洞分析

当Spring-security使用 RegexRequestMatcher 进行权限配置，由于RegexRequestMatcher正则表达式配置权限的特性，正则表达式中包含“.”时，未经身份验证攻击者可以通过构造恶意数据包绕过身份认证。

Spring Security 5.6.x < 5.6.4

使用github上的漏洞环境（https://github.com/XuCcc/VulEnv/tree/master/springboot/cve_2022_22978）

创建一个Controller，自定义接口。

通过正则表达式添加认证配置。

request.getServletPath()会对字符解码 并且会将;之后的字符到/字符删除，随后通过getServletPath获取URL，尝试提取？后的参数进行拼接，然后使用正则表达式匹配。

request.getRequestURL()：返回全路径；request.getRequestURI()：返回除去Host（域名或IP）部分的路径；request.getContextPath()：返回工程名部分，如果工程映射为/，则返回为空；request.getServletPath()：返回除去Host和工程名部分的路径；request.getPathInfo()：仅返回传递到Servlet的路径，如果没有传递额外的路径信息，则此返回Null；

当认证接口使用getRequestURI()或getRequestURL()函数来解析用户请求的URL时，若URL中包含了一些特殊符号，如分号；就可能产生限制绕过。

而在spring-security中，存在StrictHttpfirewall机制默认对特殊字符进行过滤，所以使用/admin/..;/1这种方式也就无法绕过。

不过在之前分析shiro认证绕过也提到，在正则表达式中元字符“.”是匹配除换行符（n、r）之外的任何单个字符，在java中的正则默认情况下“.”也同样不会包含n、r字符，所以RegexRequestMatcher在进行正则匹配时不会处理n、r

在spring-security中利用换行符可实现权限认证进行绕过，r的URl编码为%0d，n的URL编码为%0a

使用/admin/1%0d%0a，成功绕过登陆认证。

漏洞挖掘的思考

因为我自己是在分析了CVE-2022-32532后再分析CVE-2022-22978，也在用正则匹配流量的过程中发现过正则“.”号不匹配换行符的问题，在拜读了CVE-2022-32532发现者分析文章，了解了其发现漏洞的过程。

从漏洞分析的角度来讲，CVE-2022-32532 和CVE-2022-22978的原理其实很简单，那从漏洞发现和挖掘上看，在了解了类似于CVE-2022-22978这样的安全漏洞后或者是其他的过程发现一些特性，拓展到其他框架或组件中去寻找类似的安全问题，构造利用场景，这是无疑一种高效挖洞的方法。一些未知由语言特性、机制特性等引发的安全漏洞，也等着我们去发现和研究。

简单介绍下，API本质上是一种跨语言、跨架构的数据传输约定，API连接了不同层次、不同编程语言、不同厂商 所研发的软件，让数据可以跨应用软件进行自由流动。

API Fuzz流程。

当然，通过API Fuzz挖掘漏洞在SRC挖掘的过程中，同样适用。具体可参考https://mp.weixin.qq.com/s/MCtwiT93Fo9Js9ekuD-8wA中的实际案例。

在如今安全研究漏洞挖掘卷到飞起的天下，挖掘高危漏洞，安全研究员除了自身扎实的基础、丰富的漏洞经验外，可能有时还需要一点运气或灵感。通过自动化API Fuzz去挖掘新的高危漏洞的方式，也可以成为一个新的卷点。

4.https://github.com/XuCcc/VulEnv/tree/master/springboot/cve_2022_22978

原文始发于微信公众号（星阑PortalLab）：【技术干货】CVE-2022-22978 Spring-security 认证绕过漏洞分析和漏洞挖掘思考