CVE-2021-37580 的 poc
漏洞原理:# Apache ShenYu Admin bypass JWT authentication CVE-2021-37580
Usage: python3 CVE-2021-37580.py -u url -n username.txt
shenyu-admin-2.4.0
的,有漏洞的如下:
shenyu-admin-2.4.1
的,没有漏洞的如下:
Usage: python3 CVE-2021-37580.py -f url.txt -n username.txt
如果脚本运行报错:
AttributeError: module 'jwt' has no attribute 'encode'
执行如下命令:
python3 -m pip uninstall jwt
python3 -m pip uninstall pyjwt
python3 -m pip install pyjwt==1.5.3 --user