你的扫描器可以绕过防火墙么（一）

背景

看过从shiro-550漏洞品阿里云waf规则引擎文章的，应该知道阿里云是怎么防护shiro反序列化漏洞的利用，那么我们有办法绕过防护么？

先把上面的问题放一放，看看几个base64解码相关的case吧。

base64解码时，不同语言的接口实现有略微区别，目前知道有两种”边界情况”：

• 字符串中包含 . % 等符号时，是选择忽略这些符号，还是报错
• 字符串中包含 = 符号，解析到=时，是认为解析完成了，还是忽略”等号”继续解析

比如：
Python base64解码时，会忽略”=”号后面的字符串

import binascii
binascii.a2b_base64(b'aGVsbG8=')       # b'hello' (valid)
binascii.a2b_base64(b'aGVsbG8==')      # b'hello' (ignoring data)
binascii.a2b_base64(b'aGVsbG8=python') # b'hello' (ignoring data)

PHP base64解码时，支持编码中有. % 等符号，会忽略这些符号

P.HNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg==
P%HNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg==

我也是从别人给Python提交的这个bug 学到的一些姿势。

所以，我想研究以下问题：

• 哪些语言受影响？
• 会有什么影响？
  • 什么时候会产生绕过？
  • 哪些waf可以绕过？

哪些语言受影响？

• 测试思路

  有两个两个测试目标：

  1. 看看"不同语言 对 == 后面是否忽略"
  2. 看看"不同语言 对 . 号是否忽略"

  因此，对hellobase64编码并做点变形，得到下面三个测试paylaod

  aGVsbG8=test
  aGVs.bG8
  aGVs.bG8=

  另外额外测一下shiro中base64的解码

• 测试的语言、版本、解码接口如下

  php(7.3.11): base64_decode
  
  python(3.7): binascii.a2b_base64、base64.b64decode
  
  openresty(1.19): ngx.base64.decode_base64url
  
  java(jshell 14.0.1): Base64.getDecoder().decode
  
  shiro(1.5.1): org.apache.shiro.codec.Base64.decode

• 测试结果

  payload	php	python	openresty	java	shiro
  aGVsbG8=test	hello-z�	hello	hello	抛异常	hello-z�
  aGVs.bG8	hello	解码失败	解码失败	抛异常	hel
  aGVs.bG8=	hello	hello	解码失败	抛异常	hello
  aGVsbG8=	hello	hello	hello	hello	hello

• 结论

  • php、python、openresty、shiro 都不同程度地受变形payload影响

会有什么影响？

• 什么时候适用这种绕过方式？

  以下情况下会存在绕过：

  1. waf不能解码，后端可以解码
  2. waf解码后，只检测解码后的数据，不检测原始payload

  第一种情况的例子：比如发送 PHN.jcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg==，如果waf不能解码，就会放行。

  第二种情况的例子：发送a=aGVsbG8=' union select 1 and '，有可能waf解码成 “hello”，认为没有危害，也会放行

  第一种情况很常见，第二种情况目前还没有遇到案例。

• 哪些waf可以绕过？

  只测试了我心中的”最强王者”(阿里云waf和长亭云waf)，都存在第一种情况的绕过。

规范

• 规范中是怎么定义”base64解码时对非字母如何处理”？

  rfc规范 中说的是，”没有特殊情况下，遇到非字母就应该报错并拒绝继续解码”。

  看官方文档 shiro 是根据另外一个邮件相关的规范来做的base64编解码。

最后

所以，现在你清楚怎么绕过shiro漏洞的防护了么？

另外，如果读者有第二种情况绕过的案例，欢迎公众号后台私信我。