shiro权限绕过

q松_松q

 关注

阅读 99

2022-02-21

shiro权限绕过
可以绕过服务端对login页面的验证,从而直接访问后台页面,达到绕过验证的目的,可以理解为绕过验证
一共分为两个cve,分别是CVE-2020-11989,CVE-2020-1957
以http://vulfocus.io,以及vulhub中三个靶场为例
vulfocus
CVE-2020-11989

payload为/;/hello 即可查看到hello页面的内容(hello)
但是实际上/hello或者/hello/都能显示出hello这个内容
在这里插入图片描述在这里插入图片描述

cve_2016_4437
在这里插入图片描述
payload为/hello/1/即可查看到hello页面中的内容,上面的/hello/会跳转到login登录页面
但/hello依旧会显示出hello的字样

vulhub中CVE-2020-11989
在这里插入图片描述payload为/xxx/…;/admin/

相关推荐

Shiro权限框架(一)

独西楼Q 127 0 0

Shiro 权限校验分析

杨小羊_ba17 67 0 0

Shiro权限控制(二)

未定义变量 88 0 0

shiro权限标示符

何以至千里 68 0 0

Shiro认证、角色、权限

萨摩斯加士奇 99 0 0

shiro 安全(权限)框架

他说Python 212 0 0

Shiro配置跳过权限验证

读思意行 70 0 0

Shiro权限管理框架(一):Shiro的基本使用

最不爱吃鱼 134 0 0

SpringBoot+Shiro权限框架

静鸡鸡的JC 40 0 0

Springboot之Shiro权限管理

骑在牛背上看书 93 0 0

精彩评论(0)

0 0 举报