背景

看过从shiro-550漏洞品阿里云waf规则引擎文章的，应该知道阿里云是怎么防护shiro反序列化漏洞的利用，那么我们有办法绕过防护么？

先把上面的问题放一放，看看几个base64解码相关的case吧。

base64解码时，不同语言的接口实现有略微区别，目前知道有两种"边界情况"：

字符串中包含. %等符号时，是选择忽略这些符号，还是报错

字符串中包含=符号，解析到=时，是认为解析完成了，还是忽略"等号"继续解析

比如：
Python base64解码时，会忽略"="号后面的字符串

import binascii
binascii.a2b_base64(b'aGVsbG8=')       # b'hello' (valid)
binascii.a2b_base64(b'aGVsbG8==')      # b'hello' (ignoring data)
binascii.a2b_base64(b'aGVsbG8=python') # b'hello' (ignoring data)

PHP base64解码时，支持编码中有. %等符号，会忽略这些符号

P.HNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg==
P%HNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg==

我也是从别人给Python提交的这个bug学到的一些姿势。

所以，我想研究以下问题：

哪些语言受影响？

会有什么影响？

什么时候会产生绕过？

哪些waf可以绕过？

哪些语言受影响？

测试思路

有两个两个测试目标：

1. 看看"不同语言 对 == 后面是否忽略"
2. 看看"不同语言 对 . 号是否忽略"

因此，对hellobase64编码并做点变形，得到下面三个测试paylaod

aGVsbG8=test
aGVs.bG8
aGVs.bG8=

另外额外测一下shiro中base64的解码

测试的语言、版本、解码接口如下

php(7.3.11): base64_decode

python(3.7): binascii.a2b_base64、base64.b64decode

openresty(1.19): ngx.base64.decode_base64url

java(jshell 14.0.1): Base64.getDecoder().decode

shiro(1.5.1): org.apache.shiro.codec.Base64.decode

测试结果

结论

php、python、openresty、shiro 都不同程度地受变形payload影响

会有什么影响？

什么时候适用这种绕过方式？

以下情况下会存在绕过：

1. waf不能解码，后端可以解码
2. waf解码后，只检测解码后的数据，不检测原始payload

第一种情况的例子：比如发送PHN.jcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg==，如果waf不能解码，就会放行。

第二种情况的例子：发送a=aGVsbG8=' union select 1 and '，有可能waf解码成 "hello"，认为没有危害，也会放行

第一种情况很常见，第二种情况目前还没有遇到案例。

哪些waf可以绕过？

只测试了我心中的"最强王者"(阿里云waf和长亭云waf)，都存在第一种情况的绕过。

规范

规范中是怎么定义"base64解码时对非字母如何处理"？

rfc规范中说的是，"没有特殊情况下，遇到非字母就应该报错并拒绝继续解码"。

看官方文档shiro 是根据另外一个邮件相关的规范来做的base64编解码。

最后

所以，现在你清楚怎么绕过shiro漏洞的防护了么？

另外，如果读者有第二种情况绕过的案例，欢迎私信我。