CRLF注入漏洞

于 2024-08-19 14:14:27 发布
阅读量482 收藏 9
点赞数 11
分类专栏: 基础漏洞 文章标签: 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kjssy/article/details/141324148
版权

CRLF是“回车 + 换行”(\r\n)的简称。在HTTP协议中,HTTP Header与HTTP Body是用两个CRLF分隔的,浏览器就是根据这两个CRLF来取出HTTP 内容并显示出来。所以,一旦我们能够控制HTTP 消息头中的字符,注入一些恶意的换行,这样我们就能注入一些会话Cookie或者HTML代码,所以CRLF Injection又叫HTTP Response Splitting,简称HRS。

HRS是比XSS危害更大的安全问题,具体是为什么,我们往下看。

对于HRS最简单的利用方式是注入两个\r\n,之后在写入XSS代码,来构造一个xss。

0x01 实例
举个例子,一般网站会在HTTP头中用Location: http://baidu.com 这种方式来进行302跳转,所以我们能控制的内容就是Location:后面的XXX某个网址。

所以一个正常的302跳转包是这样:

HTTP/1.1 302 Moved Temporarily
Date: Fri, 27 Jun 2014 17:52:17 GMT
Content-Type: text/html
Content-Length: 154
Connection: close
Location: http://www.sina.com.cn
但如果我们输入的是

http://www.sina.com.cn%0aSet-cookie:JSPSESSID%3Dwooyun
注入了一个换行,此时的返回包就会变成这样:

HTTP/1.1 302 Moved Temporarily
Date: Fri, 27 Jun 2014 17:52:17 GMT
Content-Type: text/html
Content-Length: 154
Connection: close
Location: http://www.sina.com.cn
Set-cookie: JSPSESSID=wooyun
这个时候这样我们就给访问者设置了一个SESSION,造成一个“会话固定漏洞”。

当然,HRS并不仅限于会话固定,通过注入两个CRLF就能造成一个无视浏览器Filter的反射型XSS。

比如一个网站接受url参数 http://test.sina.com.cn/?url=xxx,xxx 放在Location后面作为一个跳转。如果我们输入的是
http://test.sina.com.cn/?url=%0d%0a%0d%0a%3Cimg%20src=1%20οnerrοr=alert(/xs/)%3E

我们的返回包就会变成这样:

HTTP/1.1 302 Moved Temporarily
Date: Fri, 27 Jun 2014 17:52:17 GMT
Content-Type: text/html
Content-Length: 154
Connection: close
Location:

之前说了浏览器会根据第一个CRLF把HTTP包分成头和体,然后将体显示出来。于是我们这里这个标签就会显示出来,造成一个XSS。

为什么说是无视浏览器filter的,这里涉及到另一个问题。

浏览器的Filter是浏览器应对一些反射型XSS做的保护策略,当url中含有XSS相关特征的时候就会过滤掉不显示在页面中,所以不能触发XSS。

怎样才能关掉filter?一般来说,用户这边是不行的,只有数据包中http头含有X-XSS-Protection并且值为0的时候,浏览器才不会开启filter。

说到这里应该就很清楚了,HRS不正是注入HTTP头的一个漏洞吗,我们可以将X-XSS-Protection:0注入到数据包中,再用两个CRLF来注入XSS代码,这样就成功地绕过了浏览器filter,并且执行我们的反射型XSS。

所以说HRS的危害大于XSS,因为它能绕过一般XSS所绕不过的filter,并能产生会话固定漏洞。

我们来一个真实案例吧。新浪某分站含有一个url跳转漏洞,危害并不大,于是我就想到了CRLF Injection,当我测试

http://xxx.sina.com.cn/?url=%0a%0d%0a%0d%3Cimg%20src=1%3E
的时候,发现图片已经输出在页面中了,说明CRLF注入成功了:

2014062816583715642.jpg

那么我们试试XSS看看:

2014062816585822978.jpg

看控制台,果然被XSS Filter拦截了。

那么我们就注入一个

X-XSS-Protection:0
到数据包中,看看什么效果:

2014062816593849016.jpg

@mramydnei 还想到了一个利用字符编码来绕过XSS Filter的方法,当编码是is-2022-kr时浏览器会忽略%0f,这样我们在onerror后面加个%0f就能绕过filter,前提是注入一个

2014062817010832293.jpg

当然,在Location:这里注入只有webkit内核浏览器才能够利用,其他浏览器可能会跳转、出错。不过对于chrome的使用量来说,危害已经足够了。

0x02 修复
如何修复HRS漏洞,当然是过滤\r 、\n之类的换行符,避免输入的数据污染到其他HTTP头。

0x03自动化
可用crlfuzz工具自动化扫描

参考:
https://blog.csdn.net/weixin_41924764/article/details/113292922
https://wooyun.js.org/drops/CRLF%20Injection%E6%BC%8F%E6%B4%9E%E7%9A%84%E5%88%A9%E7%94%A8%E4%B8%8E%E5%AE%9E%E4%BE%8B%E5%88%86%E6%9E%90.html

aliex23
关注
  • 11
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CRLF Injection (CRLF注入)
课嗨教育的专栏
06-20 1371
漏洞简介 CRLF是”回车 + 换行”(\r\n)的简称。在HTTP协议中,HTTP Header与HTTP Body是用两个CRLF分隔的,浏览器就是根据这两个CRLF来取出HTTP 内容并显示出来。所以,一旦能够控制HTTP 消息头中的字符,注入一些恶意的换行,这样就能注入一些会话Cookie或者HTML代码,所以CRLF Injection又叫HTTP Response Splitting,简称HRS。HRS是比XSS危害更大的安全问题。 形成原理 在HTTP协议中,HTTP头是通过”\r\..
Java代码审计之CRLF漏洞详解
最新发布
悦分享
01-23 345
RLF是”回车+换行”(\r\n)(编码后是%0D%0A)的简称,在HTTP中,HTTP Header和HTTP Body是用两个CRLF来分割的,浏览器就是根据这两个CRLF来取出HTTP 内容并显示出来。键盘上的回车键(Enter)就可以执行该操作。但是不同的操作系统,行的结束符是不一样的:Windows:使用CRLF表示行的结束Linux/Unix:使用LF表示行的结束MacOS:早期使用CR表示,现在好像也用LF表示行的结束。
crlf注入
Vdieoo的博客
02-12 332
0x00 背景 CRLFInjection很少遇见,这次被我逮住了。我看zone中(http://zone.wooyun.org/content/13323)还有一些同学对于这个漏洞不甚了解,甚至分不清它与CSRF,我详细说一下吧。 CRLF是”回车+换行”(\r\n)的简称。在HTTP协议中,HTTPHeader与HTTPBody是用两个CRLF分隔的,浏览器就是根据这两个CRLF来取出HTTP内容并显示出来。所以,一旦我们能够控制HTTP消息头中的字符,注入一些恶意的换行,这样我们就能...
JAVA防止CRLF攻击,使Git“LF将被CRLF替换”警告消失
weixin_29147347的博客
02-26 366
I have setup Git so it doesn't commit inconsistent line endings. The problem with that is a whole pile of files appear modified even though they are not. What do I type to make these files have the li...
crlf注入漏洞 java解决办法_CVE-2010-0155 IBM Proventia Network Mail Security System Local Management Interfac...
weixin_29098391的博客
02-23 269
Security Advisory:MVSA-10-009 / CVE-2010-0155Vendor: IBMProducts: Proventia Network Mail Security SystemVulnerabilities: CRLF InjectionRisk: MediumAttack Vector: From RemoteAuthentication:RequiredRefe...
CRLF测试工具打包文件
12-27
4. **报告生成**:测试完成后,工具应能生成详细的测试报告,列出所有发现的CRLF注入漏洞,包括注入点位置、影响程度和复现步骤。 5. **定制化配置**:对于复杂的测试场景,工具可能允许用户自定义CRLF注入字符串、...
CRLF-Injection-Payloads:CRLF注射的有效载荷
05-28
测试时,安全研究人员会尝试这些载荷,观察服务器的响应是否受到篡改,从而判断是否存在CRLF注入漏洞。 总结来说,CRLF注入是一种严重的安全威胁,需要开发者在设计和实现Web应用时保持警惕,采取合适的防御措施。...
Nginx相关漏洞极其预防1
08-08
CRLF 注入漏洞是指攻击者可以通过注入恶意的 CRLF 字符来执行恶意代码或获取敏感信息。这个漏洞的成因是因为 Nginx 的配置文件中没有正确地处理 CRLF 字符。 预防方法: * 对 CRLF 字符进行严格的过滤和处理。 * ...
【技术分享】初识HTTP响应拆分攻击(CRLF Injection) .pdf
09-05
CRLF注入漏洞的出现是因为Web应用程序未充分过滤用户输入,导致攻击者可以插入CRLF字符。攻击者通过在请求行或首部字段中注入CRLF,能够添加新的首部字段,甚至构建新的HTTP响应。例如,攻击者可以操纵`Location`...
ssrfuzz:SSRFuzz是使用CRLF链接功能查找服务器端请求伪造漏洞的工具。
05-07
我想用Golang编写并发工具我想模糊参数SSRF vulnerablities,以及模糊的CRLF注入两条路径及参数Orange的工作使我将这些类型的漏洞链接在一起,这使我受到启发( )安装运行以下命令以安装intsall go get -u github....
CRLF injection 简单总结
Bendawang's Blog
01-25 3070
CRLF injection 简单总结简介CRLF是”回车 + 换行”(\r\n)的简称,即我们都知道在HTTP协议中,HTTP Header与HTTP Body是用两个CRLF分隔的,浏览器就是根据这两个CRLF来提取HTTP 内容 一旦我们能够控制http头,通过注入一些CRLF这样就可以控制header和body的分割线,这样我们就可以向body或是header中注入些东西了。
CRLF log 注入
gjswxhb的专栏
10-25 4890
在项目开发时经常会用到第三方的代码包,当我们在代码重用时注意,像这种开源的第三方类的修改是不受控的,直接应用它时,留下了隐患。 应将其隐藏尽量避免其在项目代码中扩散,遵守“开扩展,闭修改”原则。组合、代理都是很好的方式。 Log4j是Apache的一个开放源代码项目,通过使用Log4j,我们可以控制日志信息输送的目的地是控制台、文件、GUI组件、甚至是套接口服务器、NT的事件记录器、UNI
mysql crlf_趣谈、浅析CRLF和LF
weixin_28940939的博客
01-21 482
作为程序员,在处理文件和输入输出的时候经常要跟CRLF和LF打交道。可能大家多少知道一些,但总是记不清楚,我也是这样的,因此写下这篇博文,作为记录。首先,明确他们的意思:CR(回车),LF(换行)。是不是有点别扭,有点难记?下面的趣谈能帮助大家记忆:CR和LF是缩写,其实他们的全称分别是:"Carriage-Return"和"Line-Feed"。追本溯源的说,CR(Carriage-Return...
crlf注入漏洞 java解决办法_HTTP响应拆分漏洞CRLF注入攻击)解决办法
weixin_39713805的博客
02-19 1825
HTTP响应拆分漏洞(也叫CRLF注入攻击)解决办法。出现HTTP响应拆分漏洞的网站攻击者可能注入自定义HTTP头。例如,攻击者可以注入会话cookie或HTML代码。这可能会进行类似的XSS(跨站点脚本)或会话固定漏洞。出现HTTP响应拆分漏洞这种现象往往表现在带有参数传递的网页,例如http://www.xxxx.com/?page=传递的参数。大家经常见到的wordpress评论调转即有类似...
crlf注入漏洞 java解决办法_HTTP响应头拆分/CRLF注入详解
weixin_36344678的博客
02-23 1273
HTTP响应头拆分/CRLF注入详解一:前言HTTP响应头拆分漏洞 是一种新型的web攻击方案,它从新产生了很多保险漏洞包括:web缓存沾染、用户信息涂改、窃取敏感用户页面、跨站脚本漏洞。这项攻击计划,包括其衍生的一系列技术产生,是因为web利用程序没有对用户的提交进行严格过滤,导致非法用户可以提交一些歹意字符,更具体来说,是对用户输入的CR 和LF字符不进行严厉的过滤。HTTP响应头拆分漏洞 及...
java csrf过滤filter
走走停停的小码农的博客
05-18 7771
public class CsrfFilter implements Filter { private static final Logger logger = LogManager.getLogger(CsrfFilter.class); // 白名单 private List whiteUrls; private int _size = 0; public void init(
CRLF 注入攻击介绍和防范
han_code的博客
05-15 6548
目录 1、什么是CRLF攻击 2、CRLF注入的关键概念 3、通过实例解释CRLF注射 4、CRLF注入的修复建议 1、什么是CRLF攻击 CRLF的含义是“carriage return/line feed”,意思就是回车和换行。这是两个ASCII字符,分别排在第十三和第十位。 CRLF指的是特殊字符元素“回车”和“换行”。这些元素嵌入在HTTP标头和其他软件代码中,以...
java crlf_CRLF回车换行替换
weixin_42515158的博客
02-23 1569
Java中回车换行替换为的两种方法package cjw;import java.util.regex.Matcher;import java.util.regex.Pattern;public class ReplaceCRLF {/*** @param args*/public static void main(String[] args) {// TODO 自动生成方法存根String co...
java crlf_怎么用JAVA的api去读取一个文本文件,换行符必须采用CRLF("\r\n")
weixin_42300418的博客
02-12 426
首先在http://ostermiller.org/utils/download.html 上下载com.Ostermiller.util cvs的jar包.有了这个jar包就可以写个工具类,专门控制csv文件的读取操作.public class CsvFileParser{private LabeledCSVParser csvParser;//csvParserprivate int curr...
crlf注入漏洞复现
08-09
CRLF注入漏洞是一种常见的网络安全漏洞,它在代码中未对输入进行正确的过滤和验证,导致攻击者可以利用换行符(CRLF:Carriage Return Line Feed)来执行恶意代码或实施其他攻击。 要复现CRLF注入漏洞,首先需要找到存在漏洞的应用程序。这些应用程序通常会接收用户的输入,并在服务器上生成响应,而在生成响应时未能很好地处理输入的换行符。 我们可以通过使用一个简单的示例来演示CRLF注入漏洞的复现。假设我们有一个简单的表单,允许用户提交评论,并在页面上显示评论内容,我们可以通过评论框中的输入来复现漏洞。 首先,我们在评论框中输入以下内容: ``` 本次评论测试漏洞%0D%0AContent-Length: 0%0D%0A%0D%0AHTTP/1.1 200 OK%0D%0AContent-Type: text/html%0D%0A%0D%0A<html><body>Hacked!</body></html> ``` 在上述输入中,`%0D%0A`表示换行符。我们在注入的内容中使用了换行符,然后添加了一些伪造的HTTP响应头,包括`Content-Length: 0`和`HTTP/1.1 200 OK`。最后,我们添加了一个简单的HTML页面。 当我们提交评论后,应用程序未能正确处理换行符,导致我们的注入成功。服务器在生成响应时,将我们注入的内容也作为响应头部分显示出来。 这样,我们就成功利用CRLF注入漏洞,并在生成的页面上显示了我们的内容。 为了防止CRLF注入漏洞,开发者应该对用户的输入进行正确的过滤和验证。在处理用户的输入时,应该移除或转义包含换行符的内容,以防止攻击者注入恶意内容并执行攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值