免责声明
本公众号所发布的所有内容,包括但不限于信息、工具、项目以及文章,均旨在提供学习与研究之用。所有工具安全性自测。如因此产生的一切不良后果与文章作者和本公众号无关。如有涉及公司与个人敏感信息,侵权烦请告知,我们会立即删除并致歉。
前置知识
alwaysUseFullPath属性
当 Spring Boot 版本在小于等于 2.3.0.RELEASE 的情况下,alwaysUseFullPath 为默认值 false。
![[技术分享]一次实战中的权限绕过](http://cn-sec.com/wp-content/uploads/2025/01/4-1736219136.png "[技术分享]一次实战中的权限绕过")
![[技术分享]一次实战中的权限绕过](http://cn-sec.com/wp-content/uploads/2025/01/0-1736219137.png "[技术分享]一次实战中的权限绕过")
SuffixPatternMatch属性
当设置了 SuffixPatternMatch 属性为 true 时,就是开启了后缀匹配模式,用于能以 .* 的方式进行匹配。
根据代码可以知道,当启用后缀匹配模式时,当传入的路径包括 46 (就是 . 号),会以 .* 结尾的方式进行匹配,pattern 是我们注册的路由,lookupPath 是我们访问的路由。
例如存在注册路由 /auth,会以 /auth.* 的形式进行匹配,即 /auth.css 和 /auth 的匹配结果是一样的。
![[技术分享]一次实战中的权限绕过](http://cn-sec.com/wp-content/uploads/2025/01/7-1736219138.png "[技术分享]一次实战中的权限绕过")
实战绕过
目标环境大概有个拦截器如下,获取请求的 uri,如果其中不包含 login,就会校验是否登录,未登录状态下进行拦截。
![[技术分享]一次实战中的权限绕过](http://cn-sec.com/wp-content/uploads/2025/01/6-1736219139.png "[技术分享]一次实战中的权限绕过")
![[技术分享]一次实战中的权限绕过](http://cn-sec.com/wp-content/uploads/2025/01/7-1736219140.png "[技术分享]一次实战中的权限绕过")
查询接口 /query 会校验是否登录。
![[技术分享]一次实战中的权限绕过](http://cn-sec.com/wp-content/uploads/2025/01/3-1736219141.png "[技术分享]一次实战中的权限绕过")
![[技术分享]一次实战中的权限绕过](http://cn-sec.com/wp-content/uploads/2025/01/5-1736219142.png "[技术分享]一次实战中的权限绕过")
![[技术分享]一次实战中的权限绕过](http://cn-sec.com/wp-content/uploads/2025/01/10-1736219144.png "[技术分享]一次实战中的权限绕过")
![[技术分享]一次实战中的权限绕过](http://cn-sec.com/wp-content/uploads/2025/01/10-1736219145.png "[技术分享]一次实战中的权限绕过")
![[技术分享]一次实战中的权限绕过](http://cn-sec.com/wp-content/uploads/2025/01/10-1736219146.png "[技术分享]一次实战中的权限绕过")
原文始发于微信公众号(良月安全):[技术分享]一次实战中的权限绕过
原文始发于微信公众号(良月安全):[技术分享]一次实战中的权限绕过
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论