HTTP请求走私漏洞简单分析_apache 2

本人从事网路安全工作12年，曾在2个大厂工作过，安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过，对这个行业了解比较全面。

最近遍览了各种网络安全类的文章，内容参差不齐，其中不伐有大佬倾力教学，也有各种不良机构浑水摸鱼，在收到几条私信，发现大家对一套完整的系统的网络安全从学习路线到学习资料，甚至是工具有着不小的需求。

最后，我将这部分内容融会贯通成了一套282G的网络安全资料包，所有类目条理清晰，知识点层层递进，需要的小伙伴可以点击下方小卡片领取哦！下面就开始进入正题，如何从一个萌新一步一步进入网络安全行业。

需要体系化学习资料的朋友，可以加我V获取：vip204888 （备注网络安全）

学习路线图

其中最为瞩目也是最为基础的就是网络安全学习路线图，这里我给大家分享一份打磨了3个月，已经更新到4.0版本的网络安全学习路线图。

相比起繁琐的文字，还是生动的视频教程更加适合零基础的同学们学习，这里也是整理了一份与上述学习路线一一对应的网络安全视频教程。

网络安全工具箱

当然，当你入门之后，仅仅是视频教程已经不能满足你的需求了，你肯定需要学习各种工具的使用以及大量的实战项目，这里也分享一份我自己整理的网络安全入门工具以及使用教程和实战。

项目实战

最后就是项目实战，这里带来的是SRC资料&HW资料，毕竟实战是检验真理的唯一标准嘛~

面试题

归根结底，我们的最终目的都是为了就业，所以这份结合了多位朋友的亲身经验打磨的面试题合集你绝对不能错过！

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化资料的朋友，可以点击这里获取

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

Content-Length: 3

1
X

> 
> 如以上数据包为例，前端使用Content-length，只会发送3个长度的数据，发送到了1，而后端使用的是chunked，会一直等待下一区块的到来，或者等待结束符0的到来。
> 
> 
> 


### 通过时间延迟技术寻找TE.CL漏洞


由于前端服务器使用Transfer-Encoding表头，仅转发请求的一部分，后端服务器使用的是Content-Length表头，在等待着剩余内容的到达，也可以观察到时间延迟

POST / HTTP/1.1
Host: aiwin.com
Transfer-Encoding: chunked
Content-Length: 6

0

X

> 
> 如上数据包，前端服务器使用的是chunked，会转发到0之前的正文，但是后端服务器使用的是Content-Length，长度为6，而转发到0，长度仅为3，所以会等待后面3个长度的正文到来，会导致时间延迟
> 
> 
> 


## 使用差异响应内容确认漏洞


通过走私漏洞，能够干扰正确请求的响应包，通过正常请求的响应来确认漏洞。


### 通过差异响应确认CL.TE漏洞


如下数据包，由于前端服务器使用的是Content-Length，所以全部数据都被发送到了后端服务器中，而后端服务器使用的是Transfer-Encoding，数据接收到0后就停止了，下面GET的请求被认为是新一次的请求处理，返回了404 Not Found。


![file](https://img-blog.csdnimg.cn/img_convert/0af985223f74fbc856b6c71d59b4aecc.png)


### 通过差异响应确认TE.CL漏洞


如下HTTP请求包，由于前端服务器使用的是TE，所以全部数据毫无问题的发送到了后端服务器，而后端服务器使用的是CL，只接收到了5e的数据，下面的POST数据被认为是新一次的请求被后端服务器处理，返回了404。


![file](https://img-blog.csdnimg.cn/img_convert/83631c76fe8a327ea00a54a4f231e7f9.png)


## 请求走私漏洞的利用


### 通过请求漏洞绕过URL访问的限制


如下数据包，访问/admin页面，是被403掉的


![file](https://img-blog.csdnimg.cn/img_convert/6e44b7860d58c54601ee89842b47ef55.png)


因为这里存在请求走私漏洞，CL-TE漏洞，所以前端将全部的数据传入到了后端，而后端使用的是TE，接收到0后停止，下一次请求/admin被认为是新一次的请求，而此次请求的Host为本地，因此可以绕过403


![file](https://img-blog.csdnimg.cn/img_convert/b22b82adf950e218d7e8fa1bdb7ed3f9.png)


### 通过请求走私漏洞绕过客户端认证


一般在https中，作为TLS握手的一部分，服务器需要提供证书向客户端进行身份认证，证书包含通用名称，该名称需要与注册的主机名相匹配，客户端可以使用它验证是否与合法服务器进行通信。

GET /admin HTTP/1.1
Host: aiwin.com
X-SSL-CLIENT-CN: aiwin

一般这些CN标头对用户是隐藏的，如果能够发送正确的CN头和值，可能能偶绕过访问控制，在前端中，如果这些头已经存在，前端服务器会覆盖它们，因此不太可利用，而走私的请求可以绕过前端，原封不动的发送给后端，绕过验证。

POST /example HTTP/1.1
Host: vulnerable-website.com
Content-Type: x-www-form-urlencoded
Content-Length: 64
Transfer-Encoding: chunked

0

GET /admin HTTP/1.1
X-SSL-CLIENT-CN: administrator
Foo: x

### 触发反射型号XSS


查看页面，发现User-agent被插入到了页面中，并且验证一下能够通过修改User-Agent触发反射型XSS。  
 ![file](https://img-blog.csdnimg.cn/img_convert/98d1ba00ae29a440df3d531bca914401.png)  
 一般反射型XSS对用户并没有危害，只能在自身访问的网站中触发或者通过与用户交互触发，加入联合请求走私漏洞，则可以导致其它用户访问任意界面都触发反射型XSS，无需与用户进行交互，便可以轻松造成一定的影响，原理就是当前端页面中某一处请求头利用能够触发反射型XSS，又存在CL-TE种类的请求走私漏洞时，能够利用这种形式。


![file](https://img-blog.csdnimg.cn/img_convert/1e2d5cdadf99ea8b090e98e541af12f0.png)


此处因为前端不支持chunked，接收的是Content-length，因此整块数据毫无问题的传入到了后端服务器，而后端服务器接收的是TE，接收到是0后停止接收，下面还未接收，被认为是独立的请求，被缓存到了服务器中，当有用户进行请求，就会触发XSS。  
 ![file](https://img-blog.csdnimg.cn/img_convert/5e62aa1c90da725de9480e840445891f.png)


### 网页缓存中毒


网页缓存是指为了减少服务器的负载，服务器会将一些文件如CSS\JS等缓存起来，以便在下次访问的时候进行读取，不需要再次请求服务器，可是当某一用户发送一些恶意的请求服务器，服务器就会返回恶意的服务器到缓存服务器，因此缓存的这周机制，其它用户访问这个界面的时候就会加载这个恶意的缓存，存在被投毒的可能。


因为服务器存在CL-TE请求走私漏洞，因此可以通过攻击服务器，使得CL-TE请求走私将下一个请求指定攻击服务器的POST路径。


![file](https://img-blog.csdnimg.cn/img_convert/43edc077b348a845564c9f99b97d1b54.png)


![file](https://img-blog.csdnimg.cn/img_convert/2d4e860b514b76948034d590b9bbb2b4.png)


访问JS文件，可以看到重定向来了构造的恶意XSS语句中，JS文件恶意重定向到了XSS被缓存到了服务器中。


![file](https://img-blog.csdnimg.cn/img_convert/75c98a3c326aa63e13c1bf423c4a6365.png)


再次访问靶场页面，因为缓存机制，服务器每次进入主页面都会请求这个JS文件，又因为这个JS已经被投毒，会从缓存服务器中请求这个被重定向的恶意JS文件，触发了XSS。


![file](https://img-blog.csdnimg.cn/img_convert/2720d51e09627fe10c462dc1dee8176d.png)


## Apache mod\_proxy配置请求走私攻击


在apache HTTP Server版本2.4.0-2.4.55中某些mod\_proxy配置能够造成HTTP请求走私攻击，启用 mod\_proxy 以及特定配置的 RewriteRule 或 ProxyPassMatch 模块时，当规则与用户提供的URL的某些部分匹配时，会因为变量替换从而造成代理请求目标错误。


例如如下配置

RewriteEngine on
RewriteRule “^/nssctf/(.*)” “http://example.com:8080/index.php?id=$1”; [P]
ProxyPassReverse “/nssctf/” “http://example.com:8080/”

这里的id被设置成了$1，当我们访问的url匹配到正则的时，就会进行RewriteRule规则替换，准备新的请求发送给mod\_proxy模块，让apache生成一个request请求目标的后端服务器。


![file](https://img-blog.csdnimg.cn/img_convert/4752117caece78674b127ecb65328e46.png)


这里的url字符会被解码，能够进行CRLF注入，id=0以及GET /flag.txt会直接拼接到了请求报文中发送给了后端服务器，造成了请求走私。


具体分析查看：[Apache请求走私漏洞]( )









本人从事网路安全工作12年，曾在2个大厂工作过，安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过，对这个行业了解比较全面。


最近遍览了各种网络安全类的文章，内容参差不齐，其中不伐有大佬倾力教学，也有各种不良机构浑水摸鱼，在收到几条私信，发现大家对一套完整的系统的网络安全从学习路线到学习资料，甚至是工具有着不小的需求。


最后，我将这部分内容融会贯通成了一套282G的网络安全资料包，所有类目条理清晰，知识点层层递进，需要的小伙伴可以点击下方小卡片领取哦！下面就开始进入正题，如何从一个萌新一步一步进入网络安全行业。


![](https://img-blog.csdnimg.cn/img_convert/311903982dea1d8a5d2c98fc271b5b41.jpeg)

**需要体系化学习资料的朋友，可以加我V获取：vip204888 （备注网络安全）**

### 学习路线图


 其中最为瞩目也是最为基础的就是网络安全学习路线图，这里我给大家分享一份打磨了3个月，已经更新到4.0版本的网络安全学习路线图。


相比起繁琐的文字，还是生动的视频教程更加适合零基础的同学们学习，这里也是整理了一份与上述学习路线一一对应的网络安全视频教程。


![](https://img-blog.csdnimg.cn/img_convert/1ddfaf7dc5879b1120e31fafa1ad4dc7.jpeg)


#### 网络安全工具箱


当然，当你入门之后，仅仅是视频教程已经不能满足你的需求了，你肯定需要学习各种工具的使用以及大量的实战项目，这里也分享一份**我自己整理的网络安全入门工具以及使用教程和实战。**


![](https://img-blog.csdnimg.cn/img_convert/bcd1787ce996787388468bb227d8f959.jpeg)


#### 项目实战


最后就是项目实战，这里带来的是**SRC资料&HW资料**，毕竟实战是检验真理的唯一标准嘛~


![](https://img-blog.csdnimg.cn/img_convert/35fc46df24091ce3c9a5032a9919b755.jpeg)


#### 面试题


归根结底，我们的最终目的都是为了就业，所以这份结合了多位朋友的亲身经验打磨的面试题合集你绝对不能错过！

**网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。**

**[需要这份系统化资料的朋友，可以点击这里获取](https://bbs.csdn.net/topics/618540462)**

**一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！**