CRLF注入漏洞详解与实例分析-安全小百科

一、漏洞详解

CRLF是”回车 + 换行”（rn）的简称。在HTTP协议中，HTTP Header与HTTP Body是用两个CRLF分隔的，浏览器就是根据这两个CRLF来取出HTTP 内容并显示出来。所以，一旦我们能够控制HTTP 消息头中的字符，注入一些恶意的换行，这样我们就能注入一些会话Cookie或者HTML代码，所以CRLF Injection又叫HTTP Response Splitting，简称HRS。

对于CRLF漏洞最简单的利用方式是注入两个rn，之后在写入XSS代码，来构造一个xss。

比如一个网站接受url参数http://test.sina.com.cn/?url=xxx，xxx放在Location后面作为一个跳转。如果我们输入的是

<br />
http://test.sina.com.cn/?url=%0d%0a%0d%0a<img src=1 onerror=alert(/xss/)>

1	http://test.sina.com.cn/?url=%0d%0a%0d%0a<img src=1 onerror=alert(/xss/)>

我们的返回包就会变成这样：

<br />
HTTP/1.1 302 Moved Temporarily<br />
Date: Fri, 27 Jun 2014 17:52:17 GMT<br />
Content-Type: text/html<br />
Content-Length: 154<br />
Connection: close<br />
Location:</p>
<p><img src=1 onerror=alert(/xss/)>

HTTP/1.1 302 Moved Temporarily

Date: Fri, 27 Jun 2014 17:52:17 GMT

Content–Type: text/html

Content–Length: 154

Connection: close

Location:

因此这里就会显示一个反射型xss漏洞~

二、实例分析

1、Twitter的HTTP响应拆分

难度：高

厂商：https://twitter.com/

报告地址：https://hackerone.com/reports/52042

报告日期：2015年4月21日

奖金：$3,500

2015年的4月，Twitter收到了一个漏洞报告，报告称黑客可以通过该漏洞在用户向Twitter发起的请求数据中**任意cookie值。

用户在访问https://twitter.com/i/safety/report_story（用户可以在这里举报广告）地址时，服务器会获取参数reported_tweet_id的值，并将其设置到cookie中，最后导致了漏洞。

实际上Twitter是有进行校验的，它会禁止用户提交换行符0x0a（%0a）。但Twitter在处理过程中，会先验证是否提交了禁止的字符，之后如果提交的数据是UTF-8编码过的，则会将其转为原始的unicode码后去掉一些无用字符后再取剩下的字节，正是因为这样的逻辑导致了绕过。

比如说用户提交的是：%E5%98%8A，这个不包含换行符所以不会被拦截，服务器接收到后将其转成原始的unicode码：U+560A，最后取了0A，这时候就变成换行符了。

绕过了CRLF拦截后，通过**javascript语句来执行xss攻击效果会更好！比如如下链接：

https://twitter.com/login?redirect_after_login=https://twitter.com:21/%E5%98%8A%E5%98%8Dcontent-type:text/html%E5%98%8A%E5%98%8Dlocation:%E5%98%8A%E5%98%8D%E5%98%8A%E5%98%8D%E5%98%BCsvg/onload=alert%28innerHTML%28%29%E5%98%BE

注意上面的%E5%E98%8A，会经过服务器处理后返回的数据就会变成下面的html响应的形式：

https://twitter.com/login?redirect_after_login=https://twitter.com:21/（CRLF）

content-type:text/html（CRLF）

location:<svg/onload=alert(innerHTML)>

在**换行符后，添加了可执行的javascript，最后可盗取用户的会话数据。

2、v.shopify.com响应拆分

难度：中

厂商：https://v.shopify.com/

报告地址：https://hackerone.com/reports/1064272

报告日期：2015年12月22日

奖金：$500

shopify会在后台中记录你上次访问的是哪一个商店，然后将其放置在cookie中，通过这个方式：/last_shop?SITENAME.shopify.com。

然后在2015年的12月份，漏洞提交者发现Shopify没有对参数进行校验，以至于白帽通过Burp Suite抓包提交%0d%0a就能造成CRLF漏洞，部分链接为：/last_shop?xxx.shopify.com%0d%0aContent-Length:%200%0d%0a%0d%0aHTTP/1.1%20200%20OK%0d%0aContent-Type:%20text/html%0d%0aContent-Length:%2019%0d%0a%0d%0a<html>deface</html>

在上面的链接中，%20是空格，%0d%0a是换行字符。结果，浏览器收到了两个头部并选择渲染了后者，最后可导致各种漏洞，比如xss。

参考文章：

http://blog.csdn.net/think_ycx/article/details/50267801

http://www.cnblogs.com/wfzWebSecuity/p/6648767.html