Apache Shiro 认证绕过漏洞 CVE-2010-3863

发表于2026-02-08|更新于2026-03-13|漏洞

|总字数:284|阅读时长:1分钟

影响范围

Apache Shiro 1.0.0-incubating

漏洞类型

权限绕过

操作系统限制

无

配置要求

在 Shiro 配置文件中设置了基于路径的访问控制规则

漏洞利用

登录管理后台，信息泄露

利用原理

Shiro1.1.0 版本之前进行安全校验前缺少对 URL 标准化处理，Shiro 拦截器执行的是严格的字符串匹配或者正则匹配，就会认为/./admin 与/admin/不同（./当前目录，../上一级目录）；后端 Web 容器为了兼容性，会自动解析 URL 中的相对路径符号

漏洞复现

现成的 vulhub 来拉取镜像

#下载vulhub源代码
git clone https://github.com/vulhub/vulhub.git
#进入漏洞目录
cd vulhub/shiro/CVE-2010-3863
#拉取镜像
docker-compose up -d

用 burpsuite 抓取 http://靶机 ip:8080/admin/

1773377933167

发送到 Repeater 模块

1773377963803

直接发送会返回 302，重定向到登录页面

1773377976393

修改路径/./admin/

1773377992451

发送后返回 200，绕过登录

1773378034342

直接访问没办法直接复现，可能原因是浏览器自动帮忙修复错误的 URL，而 Burpsuite 不会修复

文章作者: Johan

文章链接: https://cjh-1001.github.io/2026/02/08/CVE-2010-3863/

版权声明: 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 Johan的秘密小窝！

相关推荐

Shiro 反序列化漏洞 CVE-2016-4437

影响范围 Apache Shiro 1.0.0 - 1.2.4 部分集成过时 Shiro 组件的第三方框架 / 脚手架漏洞类型Java 反序列化操作系统限制无配置要求默认配置漏洞利用反弹 shell 利用原理在 Shiro1.2.4 及以前的版本中，AbstractRememberMeManager 类在代码中硬编码了 AES-128-CBC 加密的密钥 kPH + bIxk5D2deZiIxcaaaA==，意味着所以使用默认配置的 Shiro 系统用同一个密钥进行加解密 Cookie。Shiro 方便用户在关闭浏览器保持登录状态（RememberMe 逻辑），将用户身份序列化后存入 Cookie，当用户再次访问，服务器回自动读取并反序列化还原对象。解密 Cookie 后，Shiro 直接调用 Java 的 ObjectInputStream.readObject() 来还原对象，密钥对还原对象类型进行安全防护。攻击者在 Cookie 中注入精心构造的恶意代码，Shiro 拦截含 rememberMe 字段的 HTTP 请求，恶意代码经过 base64 解码再用 AES...

Shiro 认证绕过漏洞 CVE-2020-1957

影响范围 Apache Shiro 1.0.0-incubating - 1.5.1 漏洞类型权限绕过操作系统限制无配置要求 Shiro 拦截器采用了路径匹配模式漏洞利用登录管理后台，信息泄露利用原理在 Shiro 的 1.5.2 之前的版本中，WebUtils.getPathWithinApplication() 方法处理 URL 时候会根据分号对路径进行截断，会认为分号后面不属于路径一部分；而 Spring 框架在匹配控制器路由时候，会对 URL 进行标准化处理（例如解析穿越符..），它对分号处理方式不同。二者对请求的解析不一样，攻击者通过特殊构造/;/路径来绕过 Shiro 的过滤漏洞复现现成的 vulhub 来拉取镜像 123456#下载vulhub源代码git clone https://github.com/vulhub/vulhub.git#进入漏洞目录cd vulhub/shiro/CVE-2020-1957#拉取镜像docker-compose up -d 抓取 http://靶机 ip:8080/admin 数据包发送到 Repeater...

Spring Cloud Gateway 远程代码执行漏洞 CVE-2022-22947

影响范围 Spring Cloud Gateway 3.1.x - 3.1.1 Spring Cloud Gateway 3.0.x - 3.0.7 旧版本 / 停止维护版本漏洞类型SpEL 表达式注入操作系统限制无配置要求默认配置漏洞利用命令执行，进行反弹 shell，写入内存马（删除路由后还能驻留在内存中）利用原理Spring Cloud Gateway 提供了一个管理端点（/actuator/gateway/routes），允许管理员通过 HTTP 请求动态地添加、删除或修改路由配置，该端点暴露且未受保护，攻击者可以发送 POST 请求来定义新的路由，并在 filters 参数注入恶意代码，网关价值配置时候，会调用 ShortcutConfigurable 接口，该接口会将 filters 参数的值传给 SpEL 解析引擎。利用链分两个阶段，第一阶段为存储阶段，攻击者通过 T () 操作符调用 Java 环境敏感类来构造恶意代码，此时恶意代码仅仅作为字符串存在网关内存配置；第二阶段为触发阶段，加载过程网关会解析恶意表达式，解析成功后 Runtime.exec()...

Log4j 反序列化命令执行漏洞 CVE-2017-5645

影响范围 Apache Log4j 2.0-alpha1 - 2.8.1 漏洞类型Java 反序列化操作系统限制无配置要求启动 Log4j 的 TcpSocketServer 服务，监听 4712 端口（也可指定其他端口）漏洞利用命令执行，反弹 shell，植入木马利用原理Log4j 的 TcpSocketServer 和 UdpSocketServer 类中，在接收日志数据时，没有对数据进行安全检验，直接通过 ObjectInputSteam.readObject() 进行反序列化，攻击者可以构造被序列化的恶意对象链来实现命令执行漏洞复现用现成的 vulhub 来拉取镜像 123456#下载vulhub源代码git clone https://github.com/vulhub/vulhub.git#进入漏洞目录cd vulhub/log4j/CVE-2017-5645#拉取镜像docker-compose up -d 扫描靶机端口 4712，用 telnet 连接成功连接，说明端口开放 12telnet 公网ip 被扫描端口nc -zv 公网ip 被扫描端...

Weblogic 命令执行漏洞 CVE-2018-2628

影响范围 WebLogic 10.3.6.0.0 WebLogic 12.1.3.0.0 WebLogic 12.2.1.2.0 WebLogic 12.2.1.3.0 漏洞类型Java 反序列化操作系统限制无配置要求对外开放 7001 漏洞利用命令执行，反弹 shell 利用原理WebLogic 为防范反序列化设置黑名单，sun.rmi.server.UniicasetRef 不在黑名单内，T3 协议是 WebLogic 独有的通信协议，主要用于不同 Java 虚拟机之间传输对象，WebLogic 默认所以端口都支持 T3，攻击者通过 T3 协议把精心构造的 UnicastRef 序列化对象发给 WebLogic，WebLogic 反序列化对象时，会作为 JRMP 客户端主动连接攻击者服务器，攻击者服务器下发恶意 payload，此时 WebLogic，是通过 JRMP 协议进行数据传输，从而绕过最外层的 T3 协议过滤器漏洞复现现成的 vulhub 来拉取镜像 123456#下载vulhub源代码git clone https://github.com/vulhu...

Apache Struts 2 远程代码执行漏洞 CVE-2013-2251

影响范围 Struts 2.0.0 - 2.3.15 漏洞类型OGNL 表达式注入操作系统限制无配置要求默认配置漏洞利用执行命令，可以执行各种敏感操作，例如任意文件读取，植入木马，内网探测利用原理在 Struts2 中，DefaultActionMapper 类支持以” action:”、” redirect:”、” redirectAction” 作为导航或重定向过滤，在这些前缀后面可以加入 OGNL 表达式，Struts2 没有对这些前缀做过滤，可以利用 OGNL 表达式调用 Java 静态方法执行任意系统命令漏洞复现用现成的 vulhub 来拉取镜像 123456#下载vulhub源代码git clone https://github.com/vulhub/vulhub.git#进入漏洞目录cd vulhub/struts2/s2-016#拉取镜像docker-compose up -d 访问 http://公网: 8080，出现 Hello world 即搭建成功用 burpsuite 抓取 http://公网: 8080/index.action 数...

评论

数据加载中