你的扫描器可以绕过防火墙么(一)
背景
看过从shiro-550漏洞品阿里云waf规则引擎文章的,应该知道阿里云是怎么防护shiro反序列化漏洞的利用,那么我们有办法绕过防护么?
先把上面的问题放一放,看看几个base64解码相关的case吧。
base64解码时,不同语言的接口实现有略微区别,目前知道有两种”边界情况”:
- 字符串中包含
. %
等符号时,是选择忽略这些符号,还是报错 - 字符串中包含
=
符号,解析到=
时,是认为解析完成了,还是忽略”等号”继续解析
比如:
Python base64解码时,会忽略”=”号后面的字符串
1 | import binascii |
PHP base64解码时,支持编码中有. %
等符号,会忽略这些符号
1 | P.HNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg== |
我也是从别人给Python提交的这个bug 学到的一些姿势。
所以,我想研究以下问题:
- 哪些语言受影响?
- 会有什么影响?
- 什么时候会产生绕过?
- 哪些waf可以绕过?
哪些语言受影响?
测试思路
有两个两个测试目标:
1
21. 看看"不同语言 对 == 后面是否忽略"
2. 看看"不同语言 对 . 号是否忽略"因此,对
hello
base64编码并做点变形,得到下面三个测试paylaod1
2
3aGVsbG8=test
aGVs.bG8
aGVs.bG8=另外额外测一下shiro中base64的解码
测试的语言、版本、解码接口如下
1
2
3
4
5
6
7
8
9php(7.3.11): base64_decode
python(3.7): binascii.a2b_base64、base64.b64decode
openresty(1.19): ngx.base64.decode_base64url
java(jshell 14.0.1): Base64.getDecoder().decode
shiro(1.5.1): org.apache.shiro.codec.Base64.decode测试结果
payload php python openresty java shiro aGVsbG8=test
hello-z� hello hello 抛异常 hello-z� aGVs.bG8
hello 解码失败 解码失败 抛异常 hel aGVs.bG8=
hello hello 解码失败 抛异常 hello aGVsbG8=
hello hello hello hello hello 结论
- php、python、openresty、shiro 都不同程度地受变形payload影响
会有什么影响?
什么时候适用这种绕过方式?
以下情况下会存在绕过:
1
21. waf不能解码,后端可以解码
2. waf解码后,只检测解码后的数据,不检测原始payload第一种情况的例子:比如发送
PHN.jcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg==
,如果waf不能解码,就会放行。第二种情况的例子:发送
a=aGVsbG8=' union select 1 and '
,有可能waf解码成 “hello”,认为没有危害,也会放行第一种情况很常见,第二种情况目前还没有遇到案例。
哪些waf可以绕过?
只测试了我心中的”最强王者”(阿里云waf和长亭云waf),都存在第一种情况的绕过。
规范
规范中是怎么定义”base64解码时对非字母如何处理”?
rfc规范 中说的是,”没有特殊情况下,遇到非字母就应该报错并拒绝继续解码”。
最后
所以,现在你清楚怎么绕过shiro漏洞的防护了么?
另外,如果读者有第二种情况绕过的案例,欢迎公众号后台私信我。