HTTP 请求走私

最新推荐文章于 2024-07-14 15:52:08 发布
最新推荐文章于 2024-07-14 15:52:08 发布
阅读量233 收藏
点赞数
分类专栏: ctf 文章标签: http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_49762339/article/details/119302055
版权

1.产生原因

HTTP请求走私漏洞的出现是因为:HTTP规范提供了两种不同的方法来指定请求的结束位置:Content-Length标头和Transfer-Encoding标头。

Transfer-Encoding
如果一个HTTP消息(请求消息或应答消息)的Transfer-Encoding消息头的值为chunked,那么,消息体由数量未定的块组成,并以最后一个大小为0的块为结束。

例如:

POST / HTTP/1.1
Host: test.com
......
Connection: keep-alive
Transfer-Encoding: chunked

0\r\n
\r\n//回车
1\r\n

这里的post数据服务器解析到回车的时候结束。1将被舍弃。

Content-Length
如果一个HTTP消息,消息头是Content-Length,那么,消息体字符数量将由其值决定。

例如:

POST / HTTP/1.1
Host: test.com
......
Connection: keep-alive
Content-Length:4

0\r\n
1\r\n
2

这里的post数据服务器解析到2的时候结束。2将被舍弃。

实现过程
如下为拓扑结构:
用户向目标网站发送一个网络请求,但是这个请求是由反向代理服务器帮忙转发。一般情况下,反向代理服务器会实现一些WAF的功能。如果用户想要绕过这个WAF就相当于走私。
由上述两种请求结束位置的解析差异便可以构成HTTP请求走私。

HTTP请求走私攻击将两个标头放在一起进行混淆便有了四种形式以及一种特殊形式:

形式反向代理服务器解析模式服务器解析模式
CL-CLContent-LengthContent-Length
TE-CLTransfer-EncodingContent-Length
CL-TEContent-LengthTransfer-Encoding
TE-TETransfer-EncodingTransfer-Encoding
CL不为0允许携带请求体不允许携带请求体

一、CL不为0
前端代理服务器允许GET请求携带请求体;后端服务器不允许GET请求携带请求体,它会直接忽略掉GET请求中的Content-Length头,不进行处理。这就有可能导致请求走私。

GET / HTTP/1.1\r\n
Host: test.com\r\n
Content-Length: 44\r\n

GET / secret HTTP/1.1\r\n
Host: test.com\r\n
\r\n

过程:
①代理服务器允许携带请求体,检验通过并转发给服务器
②服务器不允许携带请求体,忽略Content-Length由于Pipeline的存在,后端服务器就认为这是收到了两个请求,分别是:

GET / HTTP/1.1\r\n
Host: test.com\r\n

GET / secret HTTP/1.1\r\n
Host: test.com\r\n

二、CL-CL
RFC7230规范

在RFC7230的第3.3.3节中的第四条中,规定当服务器收到的请求中包含两个Content-Length,而且两者的值不同时,需要返回400错误。

有些服务器不会严格的实现该规范,假设中间的代理服务器和后端的源站服务器在收到类似的请求时,都不会返回400错误。
但是如果中间代理服务器按照第一个Content-Length的值对请求进行处理,后端源站服务器按照第二个Content-Length的值进行处理就会出现问题。

POST / HTTP/1.1\r\n
Host: test.com\r\n
Content-Length: 8\r\n
Content-Length: 7\r\n

12345\r\n
a

代理服务器可以全部识别,但是服务器会忽略a,这时a就会保存在缓存中,如果接着有新的请求

GET /index.html HTTP/1.1\r\n
Host: test.com\r\n

便会与后面的请求拼接在一起。形成:

aGET /index.html HTTP/1.1\r\n
Host: test.com\r\n

发送错误。

三、CL-TE,TE-CL
当收到存在两个请求头的请求包时,前端代理服务器只处理Content-Length请求头,而后端服务器会遵守RFC2616的规定,忽略掉Content-Length,处理Transfer-Encoding请求头。
具体过程不再分析。

四、TE-TE
TE-TE,当收到存在两个请求头的请求包时,前后端服务器都处理Transfer-Encoding请求头,确实是实现了RFC的标准。不过前后端服务器不是同一种。这就有了一种方法,我们可以对发送的请求包中的Transfer-Encoding进行某种混淆操作(如某个字符改变大小写),从而使其中一个服务器不处理Transfer-Encoding请求头。在某种意义上这还是CL-TE或者TE-CL。

总结

虽然有五种方法但是最好用的还是CL-TE,其他的和它基本都差不多。
参考例题:[RoarCTF 2019]Easy Calc

参考文章

链接

k_i_k_i
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
http请求走私
qingjie0ng的博客
01-12 1981
http 1.1 (应用层) 特性: keepalive 建立一次tcp连接后,并不会把连接关闭(完成tcp三次握手) pipline 可在同一个请求的head(报头)写入两个http请求HTTP协议中的Transfer-Encoding:HTTP 协议中的 Transfer-Encoding | JerryQu 的小站 HTTP请求走私漏洞的产生:大多数 HTTP 请求走私漏洞的出现是因为 HTTP 规范提供了两种不同的方式来指定请求的结束位置:Cont
web渗透测试----19、HTTP请求走私--(2)HTTP请求走私漏洞的利用
七天
01-18 1625
HTTP请求走私漏洞的利用
每日漏洞系列(十三):详解HTTP请求走私
CTZL123456的博客
06-21 1050
希望这篇文章能帮你更好地理解HTTP请求走私攻击及其防御方法。如果你有任何问题,欢迎在评论区讨论。
HTTP 请求走私漏洞详解
江左盟的博客
07-08 1190
超详细的HTTP请求走私漏洞教程,看完还不会你来找我。
HTTP请求走私漏洞原理与利用手段分析
最新发布
道阻且长,行则将至。
07-14 1128
本文介绍了 HTTP 请求走私漏洞的基本原理、漏洞类型、检测方法等,同时借助靶场实践分析了 HTTP/1 与 HTTP/2 协议下的 HTTP 走私漏洞的利用手段和具体危害,最后总结了防御此类漏洞的措施。
HTTP请求走私
qq_53142368的博客
05-07 4073
今天看到学委在班级群里说最近天气变化太快,让我们别感冒了发烧了!我想说的是!!! 自从有了每天健康报备后,我每天的体温完美的控制在了36.5。上大学已经两年,从健康报备的角度来看,两年时间里我从来没有感冒过,发烧?不存在的好吧! HTTP请求走私 1、漏洞概述 HTTP走私产生的原因是 2、漏洞攻击方式 3、如何判断是否有HTTP走私漏洞 4、防护措施 ...
HTTP 请求走私漏洞
weixin_45906533的博客
04-30 466
我们总结一下,在做实验的时候遇到的问题当前端是使用CL处理请求包的时候,CL的长度与正文的长度可以一致,也可以减,但是不能超过正文的长度当后端是使用CL处理请求包的时候,CL的长度与正文的长度不能一致,需要加1,不能减。
Http 请求走私
weixin_42489549的博客
07-27 412
Http 请求走私产生原因 当前很多网站都用了CDN加速服务,在源站的前面加上一个具有缓存功能的反向代理服务器,用户在请求某些静态资源时,直接从代理服务器中就可以获取到,不用再从源站所在服务器获取,拓扑结构: 反向代理服务器与后端的源站服务器之间,会重用TCP链接,因为代理服务器与后端的源站服务器的IP地址是相对固定,不同用户的请求将通过代理服务器与源站服务器建立链接。 但是由于两者服务器的实现方式不同,如果用户提交模糊的请求可能代理服务器认为这是一个HTTP请求,然后将其转发给了后端的源站服务器,但源站
HTTP请求走私初识
Armandhe的博客
07-24 1645
一如http走私深似海,无法自拔
HTTP请求走私漏洞
Atkx's Blog
04-11 4990
这里写自定义目录标题 [RoarCTF 2019]Easy Calc calc.php代码 <?php error_reporting(0); if(!isset($_GET['num'])){ show_source(__FILE__); }else{ $str = $_GET['num']; $blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]','\$','\\','\^'];
http-request-smuggling:HTTP请求走私检测工具
05-04
HTTP请求走私检测工具HTTP请求走私是一种高度严重的漏洞,该技术是攻击者通过模糊的HTTP请求走私以绕过安全控制并获得未经授权的访问权以执行恶意活动,该漏洞是在2005年由发现的,并于2019年8月重新发现。...
Smuggler-用Python 3编写的HTTP请求走私/不同步测试工具-Python开发
05-25
Smuggler-使用Python 3 ______ _ / _____编写的HTTP请求走私/取消同步测试工具)| | (((____ ____ _ _ ____ ____ | | _____ ____ \ ____ \ | \ | | | | / _ | / _ | || ___ | / ___)_____))|( | | | _ | (...
http-desync-guardian:分析HTTP请求以最大程度地减少HTTP异步攻击的风险(HTTP请求走私拆分的前身)
03-21
http_desync_guardian库旨在分析HTTP请求,以防止HTTP Desync攻击,从而平衡安全性和可用性。它将请求分为不同并提供有关如何处理每个层级的建议。 它既可以用于原始HTTP请求标头,也可以由HTTP引擎解析。消费者...
h2csmuggler:通过HTTP2明文(h2c)的HTTP请求走私
03-18
通过与兼容h2c的后端服务器建立HTTP / 2明文(h2c)通信,h2cSmuggler通过不安全的边缘服务器proxy_pass配置走私HTTP流量,从而允许绕过代理规则和访问控制。 请参阅以下我的详细文章: 漏洞的技术细分 不安全的默认...
HTTP-Smuggling-Lab:使用HTTP走私实验室学习HTTP走私
05-22
HTTP-Smuggling-Lab是用于学习有关HTTP请求走私的实验室。 安装 使用docker-compose在每个目录中构建实验室。 用法 在每个目录中详细阅读README.md。 在Lab1中,我们将链接一些反向代理关系,Nginx将是最终的后端,...
bugku 1和0的故事
m0_49762339的博客
04-08 1850
bugku 1和0的故事 借此机会顺便学习了一下python处理excel 基本操作: 步骤一:创建一个xls book = xlwt.Workbook() 步骤二:创建一个样式(黑色填充,无边界) style = xlwt.easyxf('pattern: pattern solid, fore_colour black;font: height 250') 步骤三:打开一张表单 table=book.add_sheet('flag_code',cell_overwrite_ok=True) 步骤
BugKu Web16 备份是个好习惯
m0_49762339的博客
12-24 582
BugKu Web16 WP记录 1.首先使用御剑扫描发现index.php.bak备份文件 2.代码审计见注释 <?php /** * Created by PhpStorm. * User: Norse * Date: 2017/8/6 * Time: 20:22 */ //构造语句:http://114.67.246.176:11212/?kekeyy1=QNKCDZO&kekeyy2=240610708 include_once "flag.php";//包含文件flag.ph
BugKu web20 cookies欺骗
m0_49762339的博客
12-24 545
BugKu web20 cookies欺骗 ①打开页面发现一堆乱码什么意思也不知道。然后看到url有两个参数(line=&filename=a2V5cy50eHQ=) ②其中一个是“a2V5cy50eHQ=”base64解码后是“keys.txt”,然后盲猜line是行数。这时就想看看index.php(base64后为aW5kZXgucGhwCg==) ③然后给file参数1,2,3……发现出现了代码。这时就想到爬虫来帮忙收集代码 废话不多说直接上代码: import requests for i
如何对邮寄走私数据进行清洗
06-01
清洗邮寄走私数据的方法有很多,以下是可能的步骤: 1. 对邮件进行筛选:根据特定的筛选规则,识别出可能存在走私数据的邮件。 2. 提取数据:将邮件中的文本、附件等数据提取出来,以便于后续的分析和处理。 3. 数据分析:对提取出来的数据进行分析,识别出其中可能存在的走私数据。 4. 清洗数据:对识别出的走私数据进行清洗,例如替换敏感信息、删除不必要的数据等。 5. 导出数据:将清洗后的数据导出,以便于后续的使用或归档。 需要注意的是,邮寄走私数据的清洗需要遵守相关的法律法规,例如保护个人隐私、保护商业机密等。同时,清洗邮寄走私数据也需要保证数据的完整性和准确性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值