前言
OMG,忙得头皮发麻,这两天渗透任务有点多,所以都忘了记录博客,正好昨天挖到一个CRLF漏洞,是一个很少见的漏洞,但是危害性挺有意思,所以写来记录一下。(这几天绕安恒WAF,刚开始觉得有希望,淦了两天,今天放弃了……)
一、漏洞概述
CRLF是CR和LF两个字符的拼接,它们分别代表”回车+换行”(\r\n)“,全称为Carriage Return/Line Feed”,十六进制编码分别为0x0d和0x0a,URL编码为%0D和%0A。CR和LF组合在一起即CRLF命令,它表示键盘上的"Enter"键,许多应用程序和网络协议使用这些命令作为分隔符。
而在HTTP协议中,HTTP header之间是由一个CRLF字符序列分隔开的,HTTP Header与Body是用两个CRLF分隔的,浏览器根据这两个CRLF来取出HTTP内容并显示出来。
所以如果用户的输入在HTTP返回包的Header处回显,便可以通过CRLF来提前结束响应头,在响应内容处注入攻击脚本。因此CRLF Injection又叫HTTP响应拆分/截断(HTTP Response Splitting)简称HRS。
二、漏洞利用
任务目标那么多,随机抽一个幸运儿:
打开网站,随机找功能点,随便点了一下,点到一个网页,挺有意思,是个类似校报的界面:
1、在url上添加参数d,然后打个payload进去:
https://ip/xxx/xxx?c=xxx&d=%c4%8d%c4%8aHello666: Me_Too
BurpSuite抓包:
从上图可以看出,我们用Get请求发的请求包,加了一个d参数,参数的内容居然能在响应包中回显,这就有意思了,说明响应包我们是可以随机控制了。
比如说,可以自己给自己设cookie,搞个会话固定:
https://ip/xxx/xxx?c=xxx&d=%c4%8d%c4%8aHello666: Me_Too%c4%8d%c4%8aSet-Cookie:xxx
Tips:这里的%c4%8d%c4%8a就是换行回车的意思,类似于%0d%0a,是URL编码。
看下图就能看出效果,自己加的cookie已经成功出现在响应包里.
除了这些之外,CRLF还可以造成XSS攻击和构造一个双重响应的响应包,但是很遗憾…… 这个站加装了个安恒的WAF,我绕了半天绕不去,只能放弃了。
但是,如何用CRLF打XSS的方法还是需要了解,正常来说,先关掉XSS-protection,0就是关,1就是开。因为CRLF是可以修改响应包的,所以只要添加一个X-XSS-Protection就行。
后面的内容,我就用网上的截图来记录吧,因为大致思路都是一样的:
XSS:
当我们输入的是:
%0d%0a%0d%0a<img src=1 onerror=alert(/xss/)>
则返回包会变为:
HTTP/1.1 200 OK
Date:Fri,26Jun 2018 17:00:05 GMT
Content-type:text/html
Contet-Length:155
Connection:close
Location:
<img src=1 onerror=alert(/xss/)>
浏览器会根据CRLF将http包分为header和body,然后将body中的内容执行,从而达到XSS。如果遇到XSS过滤的情况我们还可以在httpheader中注入X-XSS-Protection:0,可绕过浏览器的过滤规则实现XSS弹窗显示。
但因为这里有WAF,所以演示不了,等以后找到了个没有加防护的站之后,再做补充。o(╥﹏╥)o
而双重响应的例子就看下面这个图吧,道理都一样,只要自己加一个响应状态就可以。
挖掘技巧:从输入和输出入手,只要请求url后面加自定义参数,再跟payload中的值,再从响应包中检索是否存在,如果有说明存在漏洞,没有则无。打算自己写个脚本,今晚有空可以写写。
修复方法
1、最简单的方法,装WAF……
2、对用户的数据进行合法性校验,对特殊的字符进行编码,如<、>、’、”、CR、LF等,限制用户输入的CR和LF,或者对CR和LF字符正确编码后再输出,以防止注入自定义HTTP头。 创建安全字符白名单,只接受白名单中的字符出现在HTTP响应头文件中。在将数据传送到http响应头之前,删除所有的换行符。
因为授权渗透,资料都是商业机密,所以图片打码比较严重,怕被客户看到,千里之外来打我。
文章原创,欢迎转载,请注明文章出处: CRLF注入漏洞(响应截断)的各种玩法.。百度和各类采集站皆不可信,搜索请谨慎鉴别。技术类文章一般都有时效性,本人习惯不定期对自己的博文进行修正和更新,因此请访问出处以查看本文的最新版本。
293
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
