tomcat的路径url解码特性
前言:tomcat的路径url解码特性笔记,这个方法比较有意思,自己通过这个方式fuzz挖到过多个厂商src的漏洞
参考文章:https://www.cnblogs.com/zpchcbd/p/14815501.html
tomcat中间件url解码特性
tomcat中间件什么时候会做路径url解码的操作呢?
通过调试会发现在进行url解码的时候是在org.apache.catalina.connector.CoyoteAdapter#postParseRequest执行的,如下所示
在org.apache.tomcat.util.buf.UDecoder#convert方法中会对url编码的数据进行url解码的操作,如下图所示会先找到百分号的索引的位置
如果百分号后面的两个字符都是存在的,那么则会通过x2c方法进行转换,可以看到就是将十六进制的数据转换为十进制的数据然后返回
private static int x2c(byte b1, byte b2) {
int digit = b1 >= 65 ? (b1 & 223) - 65 + 10 : b1 - 48;
digit *= 16;
digit += b2 >= 65 ? (b2 & 223) - 65 + 10 : b2 - 48;
return digit;
}
tomcat
参考文章:https://www.cnblogs.com/zpchcbd/p/14815501.html
路径url解码特性配合requesturi函数的特性实现权限绕过
spring
路径url解码特性配合requesturi函数的特性实现权限绕过
比较实际的写法如下,spring-mvc.xml配置文件
<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns:context="http://www.springframework.org/schema/context"
xmlns:mvc="http://www.springframework.org/schema/mvc"
xsi:schemaLocation="http://www.springframework.org/schema/beans
http://www.springframework.org/schema/beans/spring-beans.xsd http://www.springframework.org/schema/context https://www.springframework.org/schema/context/spring-context.xsd http://www.springframework.org/schema/mvc https://www.springframework.org/schema/mvc/spring-mvc.xsd"
>
<context:component-scan base-package="com.zpchcbd.controller"/>
<!--配置拦截器-->
<mvc:interceptors>
<mvc:interceptor>
<mvc:mapping path="/**"/>
<bean class="com.zpchcbd.interceptor.LoginInterceptor" />
</mvc:interceptor>
</mvc:interceptors>
<!--视图解析器:DispatcherServlet给它的ModelAndView-->
<bean class="org.springframework.web.servlet.view.InternalResourceViewResolver" id="InternalResourceViewResolver">
<!--前缀-->
<property name="prefix" value="/WEB-INF/jsp/"/>
<!--后缀-->
<property name="suffix" value=".jsp"/>
</bean>
</beans>
AuthController.java
@Controller
public class AuthController{
@RequestMapping("/auth/")
@ResponseBody
public String auth(Model model) {
return "Hello Auth";
}
}
LoginInterceptor.java
public class LoginInterceptor extends HandlerInterceptorAdapter {
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
String requestPath = request.getRequestURI();
System.out.println(requestPath);
if (requestPath.indexOf("/auth/") != -1) {
// user接口下的话都需要鉴权,这里默认直接失败
PrintWriter writer = response.getWriter();
writer.write("No auth!");
writer.close();
return false;
}
return true;
}
}
正常请求/auth/接口的时候为禁止访问,如下图所示
如果用之前/auth;/的路径接口访问也是可以的
这篇笔记针对的是路径url解码,所以这里的话对其中的字母h进行url编码访问,如下图所示 可以看到权限绕过
浙公网安备 33010602011771号