SmartAdmin 3.13.0 开发环境权限绕过分析<\/h1>

漏洞概述<\/h2>
SmartAdmin 3.13.0 版本存在一个开发环境下的权限绕过漏洞，该漏洞允许攻击者在开发或测试环境中通过简单的数字token绕过权限验证，直接获取管理员权限。需要注意的是，此漏洞仅存在于开发\/测试环境，生产环境中无法利用。<\/p>

漏洞原理分析<\/h2>

1. 拦截器配置<\/h3>

漏洞根源在于MvcConfig<\/code>类中的拦截器配置：<\/p>

@Override<\/span>
<\/span><\/span>public<\/span> void<\/span> addInterceptors<\/span>(<\/span>InterceptorRegistry registry)<\/span> {<\/span>
<\/span><\/span>    registry.<\/span>addInterceptor<\/span>(<\/span>adminInterceptor)<\/span>
<\/span><\/span>            .<\/span>excludePathPatterns<\/span>(<\/span>SwaggerConfig.<\/span>SWAGGER_WHITELIST<\/span>)<\/span>
<\/span><\/span>            .<\/span>addPathPatterns<\/span>(<\/span>"\/**"<\/span>);<\/span>
<\/span><\/span>}<\/span>
<\/span><\/span><\/code><\/pre>
excludePathPatterns<\/code>: 配置了不需要拦截的路径（主要是Swagger相关路径）<\/li>
addPathPatterns<\/code>: 配置了需要拦截的路径（\/**<\/code>表示所有路径）<\/li>
<\/ul>
2. 权限验证逻辑<\/h3>
在AdminInterceptor<\/code>拦截器中，关键验证逻辑如下：<\/p>
\/\/ 第一步：根据token获取用户
<\/span><\/span><\/span><\/span>String tokenValue =<\/span> StpUtil.<\/span>getTokenValue<\/span>();<\/span>
<\/span><\/span>boolean<\/span> debugNumberTokenFlag =<\/span> isDevDebugNumberToken(<\/span>tokenValue);<\/span>
<\/span><\/span>String loginId =<\/span> null<\/span>;<\/span>
<\/span><\/span>
<\/span><\/span>if<\/span> (<\/span>debugNumberTokenFlag)<\/span> {<\/span>
<\/span><\/span>    \/\/ 开发、测试环境，且为数字的话，则表明为调试临时用户
<\/span><\/span><\/span><\/span>    loginId =<\/span> UserTypeEnum.<\/span>ADMIN_EMPLOYEE<\/span>.<\/span>getValue<\/span>()<\/span> +<\/span> StringConst.<\/span>COLON<\/span> +<\/span> tokenValue;<\/span>
<\/span><\/span>    StpUtil.<\/span>switchTo<\/span>(<\/span>loginId);<\/span>
<\/span><\/span>}<\/span> else<\/span> {<\/span>
<\/span><\/span>    loginId =<\/span> (<\/span>String)<\/span> StpUtil.<\/span>getLoginIdByToken<\/span>(<\/span>tokenValue);<\/span>
<\/span><\/span>}<\/span>
<\/span><\/span>
<\/span><\/span>RequestEmployee requestEmployee =<\/span> loginService.<\/span>getLoginEmployee<\/span>(<\/span>loginId,<\/span> request);<\/span>
<\/span><\/span><\/code><\/pre>关键点分析：<\/h4>

token获取<\/strong>：从请求头x-access-token<\/code>获取token值<\/li>
开发环境检测<\/strong>：isDevDebugNumberToken<\/code>方法检查：

token是否为数字或null<\/li>
当前是否为开发或测试环境<\/li>
<\/ul>
<\/li>
权限绕过<\/strong>：

如果是开发\/测试环境且token为数字，则构造loginId<\/code>为1:token值<\/code>的形式<\/li>
1<\/code>对应管理员ID，直接赋予管理员权限<\/li>
后续权限检查中，ID为1的用户会被识别为超级管理员，绕过所有权限检查<\/li>
<\/ul>
<\/li>
<\/ol>
3. 数据库关联<\/h3>
本地数据库中管理员ID默认为1，这也是为什么构造1:token<\/code>形式可以获取管理员权限的原因。<\/p>
漏洞验证<\/h2>
验证步骤：<\/h3>

选择一个需要权限的接口，如\/goods\/exportGoods<\/code><\/li>
发送请求时不带token或带非数字token：

返回未授权错误<\/li>
<\/ul>
<\/li>
发送请求时带上数字token（如123）：

成功访问接口<\/li>
获取管理员权限<\/li>
<\/ul>
<\/li>
<\/ol>
不同场景下的响应：<\/h3>

无token情况<\/strong>：

返回未授权错误<\/li>
<\/ul>
<\/li>
非超管token<\/strong>：

返回权限不足错误<\/li>
<\/ul>
<\/li>
数字token（开发环境）<\/strong>：

成功访问，获取管理员权限<\/li>
<\/ul>
<\/li>
<\/ol>
漏洞影响<\/h2>

影响范围<\/strong>：仅影响开发环境和测试环境<\/li>
影响程度<\/strong>：可获取系统管理员权限<\/li>
生产环境<\/strong>：不受影响，因为isDevDebugNumberToken<\/code>在生产环境中会返回false<\/li>
<\/ul>
修复建议<\/h2>


开发环境安全<\/strong>：<\/p>

不应将开发环境直接暴露在公网<\/li>
开发环境也应设置基本的安全防护<\/li>
<\/ul>
<\/li>

代码层面改进<\/strong>：<\/p>

移除或严格限制开发环境的权限绕过功能<\/li>
为开发环境设置独立的认证机制<\/li>
<\/ul>
<\/li>

配置检查<\/strong>：<\/p>

确保生产环境的配置不会意外启用开发模式<\/li>
<\/ul>
<\/li>
<\/ol>
总结<\/h2>
该漏洞本质上是为方便开发测试而设计的"后门"，并非真正的安全漏洞。但它提醒我们：<\/p>

开发环境也需要基本的安全防护<\/li>
便利性功能可能带来安全隐患<\/li>
权限验证逻辑需要严格区分不同环境<\/li>
<\/ol>
在实际开发中，应避免此类可能被误解或滥用的设计，特别是在可能被外部访问的环境中。<\/p>

SmartAdmin 3.13.0 开发环境权限绕过分析<\/h1>

漏洞原理分析<\/h2>

3. 数据库关联<\/h3> 本地数据库中管理员ID默认为1，这也是为什么构造1:token<\/code>形式可以获取管理员权限的原因。<\/p>

3. 数据库关联<\/h3>
本地数据库中管理员ID默认为1，这也是为什么构造`1:token<\/code>形式可以获取管理员权限的原因。<\/p>`