HTTP请求走私

最新推荐文章于 2024-07-14 15:52:08 发布
最新推荐文章于 2024-07-14 15:52:08 发布
阅读量504 收藏 1
点赞数 1
分类专栏: 其他
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bring_coco/article/details/117148180
版权

一.前提

需要有两台服务器,一台cdn缓存服务器,一台真实服务器,cdn和服务器之间相当于代理关系。

二.原理

利用HTTP请求的请求体的两种判断:
1.利用Content-Length字段来判断请求体的内容长度
2.利用Transfer-Encoding字段来判定请求体的结束位置
不同的服务器分割请求的标准不一样。对同一段tcp内容,前后端服务器获取到的http请求个数不一致,就导致了请求走私
这里简单介绍一下CL和TE的作用:
CL:请求体的长度就是CL的值
TE:分块传输的标志,以0\r\n\r\n代表分块结束(也就是0换行两次)

三.分析

CL-TE

靶场地址:https://portswigger.net/web-security/request-smuggling/lab-basic-cl-te
1.进入靶场抓包并放到repeater中
在这里插入图片描述
2.将此选项关闭,为了不影响后续CL的值
在这里插入图片描述
截图已经关闭
3.将包改为POST请求
在这里插入图片描述
在这里插入图片描述
4.接下来我们就可以构造恶意数据了
修改Content-Length的值并且增加TE,修改如下图:
在这里插入图片描述
上图是我们修改后已经发送的一次请求
接下来发送第二次请求,
在这里插入图片描述
可以看到结果正是我们想要的结果。
分析:因为是CL-TE的请求方式,因此前端为CL,后端服务器为TE,CL长度设定为7,长度计算是这样的:从第一个字母开始算第一个,每次换行时都会有一个\r\n,那么这就是两个字节,那么我们的7是这样的形式:0\r\n\r\nhd,那么前端以CL请求头时,数据包是除了最后一个h没有前面的都有的,但是后端是TE请求头,它会按照0\r\n\r\n为结尾,那么,他将hd截掉了,在本次请求包中没有,那么当再次发送请求时,将会出现在第二次请求的开头。
照上面的思路走,我们将CL改为8出现的结果将会是HDHPOST,那么继续试验:
第一次请求:
在这里插入图片描述
第二次请求:
在这里插入图片描述
跟预料的结果一样

TE-CL

靶场地址:https://portswigger.net/web-security/request-smuggling/lab-basic-te-cl
1.还是将数据包放入repeater,并转为post,如下图
在这里插入图片描述
2.构造恶意数据
修改Content-Length的值并且构造出第二次我们的请求包,修改如下图:
在这里插入图片描述
上图是我们修改后已经发送的一次请求
接下来发送第二次请求,
在这里插入图片描述
出现了我们想要的结果
分析:因为是TE-CL的请求方式,因此前端为TE,后端服务器为CL,前端根据TE会取到0,那么数据包中有所有的POST请求,但到达后端后,后端采用CL,那么只会取4字节:5c\r\n,那么第一次请求将会截掉GPOST之后的,第二次请求时将会出现在开头。

TE-TE

靶场地址:https://portswigger.net/web-security/request-smuggling/lab-obfuscating-te-header
1.还是将数据包放入repeater,并转为post,如下图
在这里插入图片描述
2.构造恶意数据
在这里插入图片描述
上图是我们修改后已经发送的一次请求
接下来发送第二次请求,
在这里插入图片描述
分析:前端和后端服务器都采用TE,可以通过混淆TE头的方式来使得其中一个服务器不使用TE头的处理方式。转而进行CL解析,演变成CL.TE或TE.CL漏洞的形式。
常用混淆格式:
在这里插入图片描述

CL-CL

根据RFC7230的规范中,服务器接收两个Content-Length且两者值不同时,需要返回400错误,如果服务器不遵守规范,前端服务器读取第一个CL,而后端服务器读取了第二个CL,便造成了走私

POST / HTTP/1.1
Host:xxx.com
Content-Length:5
Content-Length:4
hello

余下的’o’被当成正常请求拼接到下一个请求中

CL!=0

CL不为0,当前端服务器允许GET请求携带请求体,而后端请求体不允许携带请求体,后端会忽略掉GET请求中的Content-Length头,可能会导致请求走私。

GET /HTTP/1.1
Host:xxx.com
Content-Length:33

GET /HTTP/1.1
Host:xxx.com

由于Pipeline存在,后端服务器忽略了CL后,可能会认为受到了两个数据包。

四.漏洞检测技术

1.延时技术—CL.TE漏洞

POST / HTTP/1.1
Host: vulnerable-website.com
Transfer-Encoding: chunked
Content-Length: 4
 
1
A
X

当前端服务器使用头且规定了CL的长度时,它仅仅会转发请求中的部分内容,X除外。而后端服务器使用Transfer-Encoding分块传输方式,它会接受到第一个分块数据 1\r\nA,但未遇到结束符0,继续等待直至响应超时

2.延时技术—TE.CL漏洞

POST / HTTP/1.1
Host: vulnerable-website.com
Transfer-Encoding: chunked
Content-Length: 6
 
0
 
X

当前端服务器使用Transfer-Encoding头,在处理第一个分块的时候就遇到了0,结束解析,将数据包发送到后端服务器,X除外。而后端服务器使用Content-Length的方式,它会继续等待6个字节长度的数据直至响应超时。

3.CL.TE漏洞—响应包差异

在这里插入图片描述
第一次发包如上图,接下来进行第二次发包
在这里插入图片描述
发现成功发生请求夹带

4.TE.CL漏洞—响应包差异

在这里插入图片描述
第一次发包如上图,接下来进行第二次发包
在这里插入图片描述
发现也成功发生请求夹带

番茄酱料
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
http请求走私
qingjie0ng的博客
01-12 1991
http 1.1 (应用层) 特性: keepalive 建立一次tcp连接后,并不会把连接关闭(完成tcp三次握手) pipline 可在同一个请求的head(报头)写入两个http请求包 HTTP协议中的Transfer-Encoding:HTTP 协议中的 Transfer-Encoding | JerryQu 的小站 HTTP请求走私漏洞的产生:大多数 HTTP 请求走私漏洞的出现是因为 HTTP 规范提供了两种不同的方式来指定请求的结束位置:Cont
Smuggler-用Python 3编写的HTTP请求走私/不同步测试工具-Python开发
05-25
Smuggler-使用Python 3 ______ _ / _____编写的HTTP请求走私/取消同步测试工具)| | (((____ ____ _ _ ____ ____ | | _____ ____ \ ____ \ | \ | | | | / _ | / _ | || ___ | / ___)_____))|( | | | _ | (...
http-request-smuggling:HTTP请求走私检测工具
05-04
HTTP请求走私检测工具 HTTP请求走私是一种高度严重的漏洞,该技术是攻击者通过模糊的HTTP请求走私以绕过安全控制并获得未经授权的访问权以执行恶意活动,该漏洞是在2005年由发现的,并于2019年8月重新发现。由发现,并在和,要了解有关此漏洞的更多信息,可以在查阅其文献充分的研究博客。 因此,此安全工具背后的想法是针对给定主机检测HRS漏洞,并根据具有给定排列的时间延迟技术进行检测,因此,要进一步了解此工具,我强烈建议您阅读有关以下内容的文章:这个工具。 技术概述 该工具是使用python编写的,要使用此工具,您必须在本地计算机上安装python 3.x版本。 它采用您需要在文本文件中提供的一个URL或URL列表的输入,并且通过遵循HRS漏洞检测技术,该工具具有内置的有效负载,该负载具有大约37个排列的CL.TETE.CL及其对于每个给定的主机,将使用这些有效负载来生成攻击请求对象,
HTTP请求走私漏洞原理与利用手段分析
最新发布
道阻且长,行则将至。
07-14 1258
本文介绍了 HTTP 请求走私漏洞的基本原理、漏洞类型、检测方法等,同时借助靶场实践分析了 HTTP/1 与 HTTP/2 协议下的 HTTP 走私漏洞的利用手段和具体危害,最后总结了防御此类漏洞的措施。
HTTP 请求走私
m0_49762339的博客
08-01 238
1.产生原因 HTTP请求走私漏洞的出现是因为:HTTP规范提供了两种不同的方法来指定请求的结束位置:Content-Length标头和Transfer-Encoding标头。 Transfer-Encoding 如果一个HTTP消息(请求消息或应答消息)的Transfer-Encoding消息头的值为chunked,那么,消息体由数量未定的块组成,并以最后一个大小为0的块为结束。 例如: POST / HTTP/1.1 Host: test.com ...... Connection: keep-aliv
http-desync-guardian:分析HTTP请求以最大程度地减少HTTP异步攻击的风险(HTTP请求走私拆分的前身)
03-21
http_desync_guardian库旨在分析HTTP请求,以防止HTTP Desync攻击,从而平衡安全性和可用性。它将请求分为不同并提供有关如何处理每个层级的建议。 它既可以用于原始HTTP请求标头,也可以由HTTP引擎解析。消费者...
h2csmuggler:通过HTTP2明文(h2c)的HTTP请求走私
03-18
通过与兼容h2c的后端服务器建立HTTP / 2明文(h2c)通信,h2cSmuggler通过不安全的边缘服务器proxy_pass配置走私HTTP流量,从而允许绕过代理规则和访问控制。 请参阅以下我的详细文章: 漏洞的技术细分 不安全的默认...
HTTP-Smuggling-Lab:使用HTTP走私实验室学习HTTP走私
05-22
HTTP-Smuggling-Lab是用于学习有关HTTP请求走私的实验室。 安装 使用docker-compose在每个目录中构建实验室。 用法 在每个目录中详细阅读README.md。 在Lab1中,我们将链接一些反向代理关系,Nginx将是最终的后端,...
Http 请求走私
weixin_42489549的博客
07-27 417
Http 请求走私产生原因 当前很多网站都用了CDN加速服务,在源站的前面加上一个具有缓存功能的反向代理服务器,用户在请求某些静态资源时,直接从代理服务器中就可以获取到,不用再从源站所在服务器获取,拓扑结构: 反向代理服务器与后端的源站服务器之间,会重用TCP链接,因为代理服务器与后端的源站服务器的IP地址是相对固定,不同用户的请求将通过代理服务器与源站服务器建立链接。 但是由于两者服务器的实现方式不同,如果用户提交模糊的请求可能代理服务器认为这是一个HTTP请求,然后将其转发给了后端的源站服务器,但源站
HTTP 请求走私漏洞(HTTP Request Smuggling)
weixin_42451330的博客
07-18 4429
HTTP请求走私漏洞(HTTP Request Smuggling)是一种安全漏洞,利用了HTTP协议中请求和响应的解析和处理方式的不一致性。攻击者通过构造特定的恶意请求,以欺骗服务器和代理服务器,从而绕过安全机制,执行未经授权的操作。HTTP请求走私漏洞通常涉及两个或多个HTTP请求的组合,攻击者可以利用HTTP报文中的头部或其他元数据来混淆和欺骗服务器或代理服务器的解析逻辑。
http请求走私详解
01-10 3066
HTTP请求走私是一种干扰网站正常处理从一个或多个用户收到的HTTP请求的方法,请求走私漏洞在本质上通常很关键,允许攻击者绕过安全控制,获得对敏感数据的未授权访问,并直接危害其他应用程序的用户。随便提一句:本文的环境为网站https://portswigger.net/提供的在线环境。现在的网络架构,一般后端真实响应的服务器前端还有存在一个反向代理或者负载均衡的服务器,例如常见的Nginx + tomcat的响应方式。
HTTP请求走私!!!(一)
m0_74057302的博客
03-27 1779
想都是问题,做才是答案!!!
http请求走私(HTTP Request Smuggling)
热门推荐
不忘初心,护天下安全!
10-13 2万+
目录 东窗事发 事故实例 漏洞局限性 技术攻坚 检测请求走私 形成检测工具 漏洞利用 请求存储 攻击 缓解措施 东窗事发 HTTP请求理论上是独立的实体,但利用http请求走私技术可以突破理论限制,远程攻击者在未经身份验证的情况下,轻松攻击目标网络基础设施。 事故实例 事故名称:Tomcat请求漏洞(Request Smuggling) CVE编码:CVE-2...
HTTP 请求走私漏洞
qq_63267612的博客
08-14 1385
所谓CL-TE,就是当收到存在两个请求头的请求包时,前端代理服务器只处理Content-Length这一请求头,而后端服务器会遵守RFC2616的规定,忽略掉Content-Length,处理Transfer-Encoding这一请求头。前端服务器收到该请求,通过读取Content-Length,判断这是一个完整的请求,然后转发给后端服务器,而后端服务器收到后,因为它不对Content-Length进行处理,由于Pipeline的存在,它就认为这是收到了两个请求,分别是。这就有可能导致请求走私。......
如何对邮寄走私数据进行清洗
06-01
清洗邮寄走私数据的方法有很多,以下是可能的步骤: 1. 对邮件进行筛选:根据特定的筛选规则,识别出可能存在走私数据的邮件。 2. 提取数据:将邮件中的文本、附件等数据提取出来,以便于后续的分析和处理。 3. 数据分析:对提取出来的数据进行分析,识别出其中可能存在的走私数据。 4. 清洗数据:对识别出的走私数据进行清洗,例如替换敏感信息、删除不必要的数据等。 5. 导出数据:将清洗后的数据导出,以便于后续的使用或归档。 需要注意的是,邮寄走私数据的清洗需要遵守相关的法律法规,例如保护个人隐私、保护商业机密等。同时,清洗邮寄走私数据也需要保证数据的完整性和准确性。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值