声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 |
宝子们现在只对常读和星标的公众号才展示大图推送,建议大家把李白你好“设为星标”,否则可能就看不到了啦!文章中所涉及漏洞已交给相关漏洞平台。
0x01 起因
日常闲逛,翻到了某后台系统
U1s1,这个后台功能点少的可怜,文件上传点更是别想不过那个备份管理的界面引起了我的兴趣,似乎有点意思filename参数后面直接跟上了文件名,这很难让人不怀疑存在任意下载漏洞0x02 经过
经过fofa收集,我发现这是一个小通用,正当我打算兴致勃勃的打一发别的目标时,却发现这只是个后台洞,backup功能点需要管理员权限本来打算批量扫备份拿源码,但后面发现,github的链接就在后台介绍处。spring+shiro的典型组合,嗯,刚好没学到过凭着典型的脚本小子的思想,我考虑到了shiro的权限分配的较死,从逻辑层绕过估计是中彩票想到f12sec有位师傅发表过shiro权限绕过的文章,可以利用shiro权限绕过,达到前台任意下载最后,发现是我的姿势错了,在https://www.freebuf.com/vuls/231909.html中,我找到了答案Shiro的URL路径表达式为Ant 格式,路径通配符支持?***。?:匹配一个字符
*:匹配零个或多个字符串
**:匹配路径中的零个或多个路径
上面的文章里解释的很清楚了,如果URI中存在;号的话,则会删除其后面的所有字符。/fdsf;/../hello/1/最终也就变成了/fdsf。而我们这款web应用遇到不符合的目录就直接跳转了,所以,想要利用这个权限绕过,必须要有以下条件然后手动构造,burp发包,芜湖,成功前台任意下载!0x03 结果
因为本人只是半吊子水平,很多对漏洞的理解是基于想象的,如果有不妥当之处,请各位大佬指出嘿嘿,希望能和各位师傅一起学习交流。0x04 链接获取
原文链接:https://xz.aliyun.com/t/103280x05 往期精彩