CRLF Injection漏洞的利用與例項分析
0x00 背景
CRLF Injection很少遇見,這次被我逮住了。我看zone中(http://zone.wooyun.org/content/13323)還有一些同學對於這個漏洞不甚瞭解,甚至分不清它與CSRF,我詳細說一下吧。
CRLF是”回車 + 換行”(\r\n)的簡稱。在HTTP協議中,HTTP Header與HTTP Body是用兩個CRLF分隔的,瀏覽器就是根據這兩個CRLF來取出HTTP 內容並顯示出來。所以,一旦我們能夠控制HTTP 訊息頭中的字元,注入一些惡意的換行,這樣我們就能注入一些會話Cookie或者HTML程式碼,所以CRLF Injection又叫HTTP Response Splitting,簡稱HRS。
HRS是比XSS危害更大的安全問題,具體是為什麼,我們往下看。
對於HRS最簡單的利用方式是注入兩個\r\n,之後在寫入XSS程式碼,來構造一個xss。
0x01 例項
舉個例子,一般網站會在HTTP頭中用Location: http://baidu.com這種方式來進行302跳轉,所以我們能控制的內容就是Location:後面的XXX某個網址。
所以一個正常的302跳轉包是這樣:
HTTP/1.1 302 Moved Temporarily
Date: Fri, 27 Jun 2014 17:52:17 GMT
Content-Type: text/html
Content-Length: 154
Connection: close
Location: http://www.sina.com.cn
但如果我們輸入的是
http://www.sina.com.cn%0aSet-cookie:JSPSESSID%3Dwooyun
注入了一個換行,此時的返回包就會變成這樣:
HTTP/1.1 302 Moved Temporarily
Date: Fri, 27 Jun 2014 17:52:17 GMT
Content-Type: text/html
Content-Length: 154
Connection: close
Location: http://www.sina.com.cn
Set-cookie: JSPSESSID=wooyun
這個時候這樣我們就給訪問者設定了一個SESSION,造成一個“會話固定漏洞”。
當然,HRS並不僅限於會話固定,透過注入兩個CRLF就能造成一個無視瀏覽器Filter的反射型XSS。
比如一個網站接受url引數http://test.sina.com.cn/?url=xxx,xxx放在Location後面作為一個跳轉。如果我們輸入的是
http://test.sina.com.cn/?url=%0d%0a%0d%0a<img src=1 onerror=alert(/xss/)>
我們的返回包就會變成這樣:
HTTP/1.1 302 Moved Temporarily
Date: Fri, 27 Jun 2014 17:52:17 GMT
Content-Type: text/html
Content-Length: 154
Connection: close
Location:
<img src=1 onerror=alert(/xss/)>
之前說了瀏覽器會根據第一個CRLF把HTTP包分成頭和體,然後將體顯示出來。於是我們這裡這個標籤就會顯示出來,造成一個XSS。
為什麼說是無視瀏覽器filter的,這裡涉及到另一個問題。
瀏覽器的Filter是瀏覽器應對一些反射型XSS做的保護策略,當url中含有XSS相關特徵的時候就會過濾掉不顯示在頁面中,所以不能觸發XSS。
怎樣才能關掉filter?一般來說使用者這邊是不行的,只有資料包中http頭含有X-XSS-Protection並且值為0的時候,瀏覽器才不會開啟filter。
說到這裡應該就很清楚了,HRS不正是注入HTTP頭的一個漏洞嗎,我們可以將X-XSS-Protection:0注入到資料包中,再用兩個CRLF來注入XSS程式碼,這樣就成功地繞過了瀏覽器filter,並且執行我們的反射型XSS。
所以說HRS的危害大於XSS,因為它能繞過一般XSS所繞不過的filter,並能產生會話固定漏洞。
我們來一個真實案例吧。 新浪某分站含有一個url跳轉漏洞,危害並不大,於是我就想到了CRLF Injection,當我測試
http://xxx.sina.com.cn/?url=%0a%0d%0a%0d%3Cimg%20src=1%3E
的時候,發現圖片已經輸出在頁面中了,說明CRLF注入成功了:
那麼我們試試XSS看看:
看控制檯,果然被XSS Filter攔截了。
那麼我們就注入一個
X-XSS-Protection:0
到資料包中,看看什麼效果:
@mramydnei 還想到了一個利用字元編碼來繞過XSS Filter的方法,當編碼是is-2022-kr時瀏覽器會忽略%0f,這樣我們在onerror後面加個%0f就能繞過filter,前提是注入一個
<meta charset=ISO-2022-KR>
當然,在Location:這裡注入只有webkit核心瀏覽器才能夠利用,其他瀏覽器可能會跳轉、出錯。不過對於chrome的使用量來說,危害已經足夠了。
0x02 修復
如何修復HRS漏洞,當然是過濾\r 、\n之類的換行符,避免輸入的資料汙染到其他HTTP頭。
相關文章
- BlueKeep 漏洞利用分析
- IORegistryIterator競爭條件漏洞分析與利用
- SQL注射/SQL Injection漏洞SQL
- fastcgi協議分析與例項AST協議
- React元件/元素與例項分析React元件
- PHP漏洞挖掘思路+例項PHP
- PHP審計之class_exists與任意例項化漏洞PHP
- YACC 例項分析
- PHP弱型別引發的漏洞例項PHP型別
- C#利用反射建立例項C#反射
- 從反序列化到型別混淆漏洞——記一次 ecshop 例項利用型別
- 資料庫的備份與恢復分析及例項資料庫
- 【Oracle ASM】關於asm例項與db例項中的磁碟狀態_詳細分析過程OracleASM
- Redis 例項分析工具Redis
- 非同步(一):Promise深入理解與例項分析非同步Promise
- 【原創】Oracle execute plan 原理分析與例項分享Oracle
- CORS漏洞的學習與分析CORS
- Activiti的流程例項【ProcessInstance】與執行例項【Execution】
- 永恆之藍漏洞利用機制分析
- [8]elasticsearch原始碼深入分析——Node與NodeEnvironment的例項化Elasticsearch原始碼
- Dubbo原始碼分析(一)Dubbo與Spring整合例項原始碼Spring
- 專家解讀:利用Angular專案與資料庫融合例項Angular資料庫
- jQuery利用name匹配元素程式碼例項jQuery
- 利用css切割圖片程式碼例項CSS
- PHP漏洞挖掘思路+例項 第二章PHP
- cve-2014-0569 漏洞利用分析
- JavaScript單例模式概念與例項JavaScript單例模式
- 單例與單例項之爭單例
- 類的例項化順序和分析
- [原創]解讀天書----漏洞利用中級技巧的分析
- Nginx的Rewrite規則與例項Nginx
- redis漏洞利用Redis
- 利用jstack定位典型效能問題例項JS
- .net core-利用PdfSharpCore 操作PDF例項RPC
- MySQL利用FREDATED實現跨例項訪問MySql
- jQuery鏈式呼叫例項分析jQuery
- SQL優化例項-思路分析SQL優化
- Java HashMap例項原始碼分析JavaHashMap原始碼