文章目录
一、漏洞简介
二、漏洞编号
CVE-2022-32532
三、影响版本
Apache Shiro < 1.9.1
四、Fofa
"Apache Shiro"
五、漏洞检测
六、漏洞原理
七、环境准备
https://vulfocus.cn/
vulfocus 筛选靶场如下,直接搜索需要的靶场环境就可以了,在这里也给大家推荐一下八,可以为需要大量复现漏洞的安全工作者节省大量时间。
这个下面就是平台给出的镜像信息和一些提示信息。我们直接访问他所给的 ip+端口 就可以访问到我们的靶场环境了。
八、漏洞利用
1、访问站点
2、get方式/permit/any不加token
3、get方式/permit/any加token
4、使用 %0a 进行权限绕过
九、修复建议
https://github.com/apache/shiro/releases/tag/shiro-root-1.9.1
