携手创作,共同成长!这是我参与「掘金日新计划 · 8 月更文挑战」的第22天,点击查看活动详情
4、TE-CL
TE-CL,前端是TE,后端是CL,
第一次:
第二次:
前端触摸到0\r\n\r\n就会截止,后端服务器是取到四字节会终止。就是5c\r\n,呢么Gpost后面的东西就会被截掉,然后出现在第二次请求的开头,就出先了这种情况。
练习网址:portswigger.net/web-securit…
5、CL不为0时的GET请求
由于Pipeline的存在(pipeline表示在外接程序与其主机之间交换数据的管线段的线性通信模型)通俗一点说就是pipeline 是为方便处理数据,将一个事情分成几个事情来做。没pipeline前就比如工厂工作包汤面叭,一个员工要将这项工作从和面,包心加工,包装,装车等。但有了Pipeline后,就相当于流水线,每个人只负责自己这一块就行,大大增加了效率。
因为代理服务器允许GET请求携带请求体,后端请求体不允许携带请求体。会忽略掉GET请求中的CL,然后后端服务器就收到了两个请求.
GET / HTTP/1.1\r\n
Host: example.net\r\n
Content-Length: 5\r\n
GET / index Http/1.1\r\n
Host: example.cn\r\n
\r\n
6、TE-TE
这里的代理服务器和后端服务器都是TE 方式,这种形式是通过混淆TE头的方式使其中一方的服务器从TE换为CL方式,最终成为CL-TE或TE-CL方式。 TE混淆方式总结:
Transfer-Encoding: xchunked
Transfer-Encoding : chunked
Transfer-Encoding: chunked
Transfer-Encoding: x
Transfer-Encoding:[tab]chunked
[space]Transfer-Encoding: chunked
X: X[\n]Transfer-Encoding: chunked
Transfer-Encoding
chunked
第一次:
Content-Length: 4
Transfer-Encoding: chunked
Transfer-Encoding: nothing #这里混肴了TE 将TE-TE转换为TE-CL形式。
第二次请求:
5c\r\n是四个字节,剩下的会出现在第二次请求中。就完成了HTTP请求攻击。
7、CL-CL
在RFC7230的规范中,服务器接受两个CL的值不同,会返回400错误,这个类型的漏洞是因为不遵守这个规范,代理服务器读取到第一个CL,后端服务器也读取到一个CL。造成走私攻击。
第一次请求长度是7,5c\r\nGPO从代理服务器到达后端,然后后端要五个字节,则只要5c\r\nG,呢么PO就造成了走私。
2、如何检测HTTP走私漏洞
1、延时技术(CL-TE漏洞)
POST / HTTP/1.1
Host: example.net
Transfer-Encoding: chunked
Content-Length: 4
1
a
b
解释:代理服务器使用了CL为4的长度时,它就只会转发4个字节长度的内容,会把b丢弃,而后端使用TE,遇到0/r/n/r/n,才会终止,但是一直等不到0\r\n\r\n,就会一直等待直到超时。
2、延时技术(TE-CL漏洞)
POST / HTTP/1.1
Host: example.net
Transfer-Encoding: chunked
Content-Length: 9
0
qwer
代理服务器时TE,他开始就遇到0\r\n\r\n,直接把qwer丢弃,然后将数据包发送给后端,后端用的是CL,要9个字节长度内容才会终止,等不到就一直等,直到响应超时。
