shiro如何绕waf shiro不出网
看到两个面试题,记录一下,同时博客也会采取这种小问题类型的方式进行记录,方便进行查询。额不过后面应该会整个面经。
shiro如何绕waf
未知HTTP请求方法
真实IP进行一个HOST绑定
HOST回车
playload字符串干扰base64解码特性导致
使用垃圾数据绕过
对payload值进行特殊处理、因为有的waf会解密payload然后校验,需要让waf不能对其进行解密,并且还能够正常识别
以及shiro解密的时候,会用discardNonBase64方法去除掉非Base64的字符,即可绕过。
shiro中的不可见字符:!、#、$、%、&、’、(、)、.、[、]、\xeb、\xec、\xed、\xee、\xef、\xf0、\xf1
小tips:
1.创宇盾一般都是cdn,找找真实ip
2.同时绕字数限制也是一样的,因为字数限制就是waf
Shiro环境不出网时,我们该怎么判断是否存在Shiro反序列化漏洞?
就是反序列过程最后会进行类型转换,而返回包中DeleteMe字段是在密钥不对或者类型转换等错误抛出异常时,在返回头添加的字段。如果我们反序列化的类是PrincipalCollection的子类且密钥又正确,返回头便不会有DeleteMe字段。
shiro的key检测就两种思路:一种靠时间验证、一种考deleteme消失验证,并且这个过程中可能会存在误报
转载请注明来源,欢迎对文章中的引用来源进行考证,欢迎指出任何有错误或不够清晰的表达。后续可能会有评论区,不过也可以在github联系我。