Shiro 认证绕过漏洞 CVE-2020-1957

发表于2026-02-08|更新于2026-03-13|漏洞

|总字数:304|阅读时长:1分钟

影响范围

Apache Shiro 1.0.0-incubating - 1.5.1

漏洞类型

权限绕过

操作系统限制

无

配置要求

Shiro 拦截器采用了路径匹配模式

漏洞利用

登录管理后台，信息泄露

利用原理

在 Shiro 的 1.5.2 之前的版本中，WebUtils.getPathWithinApplication() 方法处理 URL 时候会根据分号对路径进行截断，会认为分号后面不属于路径一部分；而 Spring 框架在匹配控制器路由时候，会对 URL 进行标准化处理（例如解析穿越符..），它对分号处理方式不同。二者对请求的解析不一样，攻击者通过特殊构造/;/路径来绕过 Shiro 的过滤

漏洞复现

现成的 vulhub 来拉取镜像

#下载vulhub源代码
git clone https://github.com/vulhub/vulhub.git
#进入漏洞目录
cd vulhub/shiro/CVE-2020-1957
#拉取镜像
docker-compose up -d

1773379459769

抓取 http://靶机 ip:8080/admin 数据包

1773379499778

发送到 Repeater 模块

1773379535602

直接发送会返回 302 重定向到登录页面

1773379578505

修改路径/;/admin/

1773379613741

发送后返回 200，说明成功绕过登录验证

1773379650630

后续可以直接访问 http://公网: 8080/;/admin/，可以看到绕过了登录

1773379674688

文章作者: Johan

文章链接: https://cjh-1001.github.io/2026/02/08/CVE-2020-1957/

版权声明: 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 Johan的秘密小窝！

相关推荐

Apache Shiro 认证绕过漏洞 CVE-2010-3863

影响范围 Apache Shiro 1.0.0-incubating 漏洞类型权限绕过操作系统限制无配置要求在 Shiro 配置文件中设置了基于路径的访问控制规则漏洞利用登录管理后台，信息泄露利用原理Shiro1.1.0 版本之前进行安全校验前缺少对 URL 标准化处理，Shiro 拦截器执行的是严格的字符串匹配或者正则匹配，就会认为/./admin 与/admin/不同（./当前目录，../上一级目录）；后端 Web 容器为了兼容性，会自动解析 URL 中的相对路径符号漏洞复现现成的 vulhub 来拉取镜像 123456#下载vulhub源代码git clone https://github.com/vulhub/vulhub.git#进入漏洞目录cd vulhub/shiro/CVE-2010-3863#拉取镜像docker-compose up -d 用 burpsuite 抓取 http://靶机 ip:8080/admin/ 发送到 Repeater 模块直接发送会返回 302，重定向到登录页面修改路径/./admin/ 发送后返回 ...

Shiro 反序列化漏洞 CVE-2016-4437

影响范围 Apache Shiro 1.0.0 - 1.2.4 部分集成过时 Shiro 组件的第三方框架 / 脚手架漏洞类型Java 反序列化操作系统限制无配置要求默认配置漏洞利用反弹 shell 利用原理在 Shiro1.2.4 及以前的版本中，AbstractRememberMeManager 类在代码中硬编码了 AES-128-CBC 加密的密钥 kPH + bIxk5D2deZiIxcaaaA==，意味着所以使用默认配置的 Shiro 系统用同一个密钥进行加解密 Cookie。Shiro 方便用户在关闭浏览器保持登录状态（RememberMe 逻辑），将用户身份序列化后存入 Cookie，当用户再次访问，服务器回自动读取并反序列化还原对象。解密 Cookie 后，Shiro 直接调用 Java 的 ObjectInputStream.readObject() 来还原对象，密钥对还原对象类型进行安全防护。攻击者在 Cookie 中注入精心构造的恶意代码，Shiro 拦截含 rememberMe 字段的 HTTP 请求，恶意代码经过 base64 解码再用 AES...

WebLogic 未授权命令执行漏洞复现 CVE-2020-14882

影响范围 Oracle WebLogic Server: 10.3.6.0.0 Oracle WebLogic Server: 12.1.3.0.0 Oracle WebLogic Server: 12.2.1.3.0 Oracle WebLogic Server: 12.2.1.4.0 Oracle WebLogic Server: 14.1.1.0.0 漏洞类型未授权访问、Java 反序列化操作系统限制无配置要求 7001 端口对外开放漏洞利用命令执行，信息泄露，反弹 shell 利用原理WebLogic 控制台的权限检验逻辑是，如果访问静态资源则直接放行，如果是敏感的管理页面，则检查 Cookie 确认登录状态，攻击者通过构造含静态路径字段的 payload 来绕过 WebLogic 前端拦截器，访问路径为 /console/css/../console.portal，WebLogic 内部引擎会对 url 编码部分进行解码，所以攻击者通过二次 url 编码构造成/console/css/%252e%252e%252fconsole.portal，来绕过 WebL...

Weblogic 命令执行漏洞 CVE-2018-2628

影响范围 WebLogic 10.3.6.0.0 WebLogic 12.1.3.0.0 WebLogic 12.2.1.2.0 WebLogic 12.2.1.3.0 漏洞类型Java 反序列化操作系统限制无配置要求对外开放 7001 漏洞利用命令执行，反弹 shell 利用原理WebLogic 为防范反序列化设置黑名单，sun.rmi.server.UniicasetRef 不在黑名单内，T3 协议是 WebLogic 独有的通信协议，主要用于不同 Java 虚拟机之间传输对象，WebLogic 默认所以端口都支持 T3，攻击者通过 T3 协议把精心构造的 UnicastRef 序列化对象发给 WebLogic，WebLogic 反序列化对象时，会作为 JRMP 客户端主动连接攻击者服务器，攻击者服务器下发恶意 payload，此时 WebLogic，是通过 JRMP 协议进行数据传输，从而绕过最外层的 T3 协议过滤器漏洞复现现成的 vulhub 来拉取镜像 123456#下载vulhub源代码git clone https://github.com/vulhu...

Spring Cloud Function 远程代码执行漏洞 CVE-2022-22963

影响范围 Spring Cloud Function 3.0.0 - 3.1.6 Spring Cloud Function 3.2.0 - 3.2.2 漏洞类型 SpEL 表达式注入操作系统限制无配置要求默认配置漏洞利用命令执行，进行反弹 shell，写入木马利用原理Spring Cloud Function 引入 RoutingFunction 功能，允许开发者根据特定条件动态将请求分发给不同函数执行，框架允许通过 HTTP Header 来指定路由逻辑。当请求到达时，RoutingFunction 会检查是否存在特定 HTTP 请求头：spring.cloud.function.routing-expression，如果存在该 Header，框架会将其值作为 SpEL 表达式处理，攻击者可以构造恶意 payload 注入到 spring.cloud.function.routing-expression 属性值，服务器处理 POST 请求时候，识别到恶意 payload 就会触发解析，执行恶意命令。POST 请求主体不能为空，若为空，Spring 的 Messag...

Nginx 整数溢出漏洞 CVE-2017-7529

影响范围 Nginx 0.5.6 - 1.13.2 漏洞类型整数溢出操作系统限制无配置要求Nginx 开启了缓存功能漏洞利用信息泄露利用原理Nginx 处理 Range 请求的模块计算请求范围时候使用了 64 位有符号整数，在计算多段请求时候，Nginx 会计算总的返回长度，攻击者通过给出接近 64 位整数机选大数字，两个负数相减或正数相加，结果超过 64 位整数能表示的最大范围，这个数值在计算机内部发生了溢出。当 Nginx 开启了缓存，存文件的格式不是纯文本，而是包含 KEY、过期时间、后端服务器信息，后端返回的原始头信息，以及真正的网页内容，由于漏洞导致的整数溢出（没做边界检验），攻击者构造负数起始位置，在通过整数溢出使得请求变得合理（大整数与负数相加后整数溢出变成极小的数，极小的数小于实际文件总长，使服务器认为请求合理），Nginx 内部计算的原始读取位置发生了偏移，可以让出错的指针刚好落到缓存头区域，进而读到缓存的内容漏洞复现现成的 vulhub 来拉取镜像 123456#下载vulhub源代码git clone https://github.com/vu...

评论

数据加载中