文章目录

• 🍬 博主介绍
• 一、漏洞简介
• 二、漏洞编号
• 三、影响版本
• 四、Fofa
• 五、漏洞检测
• 六、漏洞原理
• 七、环境准备
• 八、漏洞利用
• • 1、访问站点
  • 2、get方式/permit/any不加token
  • 3、get方式/permit/any加token
  • 4、使用 %0a 进行权限绕过
• 九、修复建议

一、漏洞简介

二、漏洞编号

CVE-2022-32532

三、影响版本

Apache Shiro < 1.9.1

四、Fofa

"Apache Shiro"

五、漏洞检测

六、漏洞原理

七、环境准备

https://vulfocus.cn/

vulfocus 筛选靶场如下，直接搜索需要的靶场环境就可以了，在这里也给大家推荐一下八，可以为需要大量复现漏洞的安全工作者节省大量时间。

这个下面就是平台给出的镜像信息和一些提示信息。我们直接访问他所给的 ip+端口 就可以访问到我们的靶场环境了。

八、漏洞利用

1、访问站点

2、get方式/permit/any不加token

3、get方式/permit/any加token

4、使用 %0a 进行权限绕过

九、修复建议

https://github.com/apache/shiro/releases/tag/shiro-root-1.9.1